{"id":445287,"date":"2022-11-03T13:09:24","date_gmt":"2022-11-03T15:09:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/opera1er-apt-hackers-a-cible-des-dizaines-dorganisations-financieres-en-afrique\/"},"modified":"2022-11-03T13:09:26","modified_gmt":"2022-11-03T15:09:26","slug":"opera1er-apt-hackers-a-cible-des-dizaines-dorganisations-financieres-en-afrique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/opera1er-apt-hackers-a-cible-des-dizaines-dorganisations-financieres-en-afrique\/","title":{"rendered":"OPERA1ER APT Hackers a cibl\u00e9 des dizaines d&#8217;organisations financi\u00e8res en Afrique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur de la menace francophone surnomm\u00e9 <strong>OP\u00c9RATEUR<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie de plus de 30 cyberattaques r\u00e9ussies visant des banques, des services financiers et des entreprises de t\u00e9l\u00e9communications en Afrique, en Asie et en Am\u00e9rique latine entre 2018 et 2022.<\/p>\n<p>Selon Group-IB, soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Singapour, les attaques ont entra\u00een\u00e9 des vols totalisant 11 millions de dollars, avec des dommages r\u00e9els estim\u00e9s \u00e0 30 millions de dollars.<\/p>\n<p>Certaines des attaques les plus r\u00e9centes en 2021 et 2021 ont cibl\u00e9 cinq banques diff\u00e9rentes au Burkina Faso, au B\u00e9nin, en C\u00f4te d&#8217;Ivoire et au S\u00e9n\u00e9gal.  De nombreuses victimes identifi\u00e9es auraient \u00e9t\u00e9 compromises deux fois, et leur infrastructure a ensuite \u00e9t\u00e9 arm\u00e9e pour frapper d&#8217;autres organisations.<\/p>\n<p>OPERA1ER, \u00e9galement connu sous les noms de DESKTOP-GROUP, Common Raven et NXSMS, est connu pour \u00eatre actif depuis 2016, op\u00e9rant dans le but de mener des cambriolages motiv\u00e9s financi\u00e8rement et d&#8217;exfiltrer des documents pour une utilisation ult\u00e9rieure dans des attaques de harponnage.<\/p>\n<p>&#8220;OPERA1ER op\u00e8re souvent le week-end et les jours f\u00e9ri\u00e9s&#8221;, a d\u00e9clar\u00e9 Group-IB dans un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.group-ib.com\/opera1er-apt\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News, ajoutant que &#8220;tout l&#8217;arsenal de l&#8217;adversaire est bas\u00e9 sur des programmes open source et des chevaux de Troie, ou des RAT publi\u00e9s gratuitement qui peuvent \u00eatre trouv\u00e9s sur le dark web&#8221;.<\/p>\n<p>Cela inclut les logiciels malveillants pr\u00eats \u00e0 l&#8217;emploi tels que Nanocore, Netwire, Agent Teslam Venom RAT, BitRAT, Metasploit et Cobalt Strike Beacon, entre autres.<\/p>\n<p>La cha\u00eene d&#8217;attaque commence par des &#8220;e-mails de harponnage de haute qualit\u00e9&#8221; avec des leurres sur le th\u00e8me de la facturation et de la livraison r\u00e9dig\u00e9s principalement en fran\u00e7ais et dans une moindre mesure en anglais.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates OPERA1ER\" border=\"0\" data-original-height=\"347\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667488164_518_OPERA1ER-APT-Hackers-a-cible-des-dizaines-dorganisations-financieres-en.jpg\" title=\"Pirates OPERA1ER\" \/><\/div>\n<p>Ces messages contiennent des pi\u00e8ces jointes d&#8217;archives ZIP ou des liens vers Google Drive, des serveurs Discord, des sites Web l\u00e9gitimes infect\u00e9s et d&#8217;autres domaines contr\u00f4l\u00e9s par des acteurs, ce qui conduit au d\u00e9ploiement de chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>Succ\u00e9dant \u00e0 l&#8217;ex\u00e9cution du RAT, des frameworks de post-exploitation tels que Metasploit Meterpreter et Cobalt Strike Beacon sont t\u00e9l\u00e9charg\u00e9s et lanc\u00e9s pour \u00e9tablir un acc\u00e8s persistant, r\u00e9colter des informations d&#8217;identification et exfiltrer les fichiers d&#8217;int\u00e9r\u00eat, mais pas avant une p\u00e9riode de reconnaissance prolong\u00e9e pour comprendre les op\u00e9rations back-end.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates OPERA1ER\" border=\"0\" data-original-height=\"597\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667488164_907_OPERA1ER-APT-Hackers-a-cible-des-dizaines-dorganisations-financieres-en.jpg\" title=\"Pirates OPERA1ER\" \/><\/div>\n<p>Cela est corrobor\u00e9 par le fait que l&#8217;auteur de la menace a \u00e9t\u00e9 observ\u00e9 passant de trois \u00e0 12 mois entre l&#8217;intrusion initiale et la r\u00e9alisation de transactions frauduleuses pour retirer de l&#8217;argent aux distributeurs automatiques de billets.<\/p>\n<p>La phase finale de l&#8217;attaque consiste \u00e0 s&#8217;introduire dans le backend bancaire num\u00e9rique de la victime, permettant \u00e0 l&#8217;adversaire de transf\u00e9rer des fonds de comptes de grande valeur vers des centaines de comptes escrocs, et finalement de les encaisser via des distributeurs automatiques de billets avec l&#8217;aide d&#8217;un r\u00e9seau de mules financi\u00e8res embauch\u00e9es \u00e0 l&#8217;avance. .<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-divulguent-les-details-de-la-faille-RCE-critique.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Ici, il est clair que l&#8217;attaque et le vol de fonds \u00e9taient possibles parce que les mauvais acteurs ont r\u00e9ussi \u00e0 accumuler diff\u00e9rents niveaux de droits d&#8217;acc\u00e8s au syst\u00e8me en volant les identifiants de connexion de divers utilisateurs de l&#8217;op\u00e9rateur&#8221;, a expliqu\u00e9 Group-IB.<\/p>\n<p>Dans un cas, plus de 400 comptes d&#8217;abonn\u00e9s mulets ont \u00e9t\u00e9 utilis\u00e9s pour siphonner ill\u00e9galement l&#8217;argent, indiquant que &#8220;l&#8217;attaque \u00e9tait tr\u00e8s sophistiqu\u00e9e, organis\u00e9e, coordonn\u00e9e et planifi\u00e9e sur une longue p\u00e9riode&#8221;.<\/p>\n<p>Les d\u00e9couvertes &#8211; r\u00e9alis\u00e9es en collaboration avec le g\u00e9ant des t\u00e9l\u00e9communications Orange &#8211; selon lesquelles OPERA1ER a r\u00e9ussi \u00e0 mener \u00e0 bien l&#8217;op\u00e9ration de fraude bancaire en s&#8217;appuyant uniquement sur des logiciels malveillants accessibles au public soulignent les efforts d\u00e9ploy\u00e9s pour \u00e9tudier les r\u00e9seaux internes des organisations.<\/p>\n<p>&#8220;Il n&#8217;y a pas de menaces zero-day dans l&#8217;arsenal d&#8217;OPERA1ER, et les attaques utilisent souvent des exploits pour les vuln\u00e9rabilit\u00e9s d\u00e9couvertes il y a trois ans&#8221;, a not\u00e9 la soci\u00e9t\u00e9.  &#8220;En progressant lentement et prudemment dans le syst\u00e8me cibl\u00e9, ils ont r\u00e9ussi \u00e0 mener \u00e0 bien au moins 30 attaques dans le monde entier en moins de trois ans.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-detail-opera1er-apt-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de la menace francophone surnomm\u00e9 OP\u00c9RATEUR a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie de plus de 30 cyberattaques r\u00e9ussies visant des banques, des services financiers et des entreprises de t\u00e9l\u00e9communications en Afrique, en Asie et en Am\u00e9rique latine entre 2018 et 2022. Selon Group-IB, soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Singapour, les attaques ont entra\u00een\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":445288,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[18250,26723,7087,4168,4158,4165,4161,133,3818,50439,184,6578,4157,4159,4171,4170,4167,4160,4163,4162,121682,4172,4169,4166,4164],"class_list":["post-445287","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-afrique","tag-apt","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dizaines","tag-dorganisations","tag-financieres","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-opera1er","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/445287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=445287"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/445287\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/445288"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=445287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=445287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=445287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}