En az 16 Afrika bankası, finansal hizmetler ve telekomünikasyon şirketi, 2018’den bu yana en az 11 milyon dolar çalan Fransızca konuşan tehdit grubu OPERA1ER’in kurbanları olarak belirlendi.
Group-IB’den yeni bir rapor, OPERA1ER’in 2019’dan beri faaliyetlerini takip ettiğini açıklıyor; ancak, 2021 aradan sonra grup yeniden ortaya çıkana kadar bulgularını yayınlamayı beklediler. Analistler, Grup-IB’nin suçlarını belgelemesine izin vererek, şimdi çete tekrar harekete geçti, diye açıklıyor. 2019’dan 2021’e kadar OPERA1ER TTP’lerihem de en son 2022’de yineleme.
Araştırmacılar, OPERA1ER’in 2018’den bu yana hedeflerin sistemlerini başarıyla en az 30 kez ihlal ettiğini bildirdi. Grubun gelişmişlik ve koordinasyonuna bir örnek olarak, rapora göre, grubun saldırılarından biri, sahte para çekmek için 400’den fazla katır hesabı kullandı. .
Grup egzotik kötü amaçlı yazılım kullanmıyor, aslında araştırmacılar raporda OPERA1ER’in ayırt edici özelliğinin kolayca erişilebilir açık kaynaklı kötü amaçlı yazılımlar ve Metasploit ve Cobalt Strike gibi günlük kırmızı ekip çerçeveleri olduğunu söyledi. Rapora göre OPERA1ER, Fransızca e-posta kimlik avı cazibeleri aracılığıyla uzaktan erişim Truva Atları (RAT’lar) sağlıyor ve “para çekmeden” önce kurbanları hakkında istihbarat toplamak için zaman harcıyor.
Group-IB Europe siber tehdit araştırması başkanı Rustam Mirkasymov yaptığı açıklamada, “Çetenin son saldırılarının ayrıntılı analizi, çalışma tarzlarında ilginç bir model ortaya çıkardı: OPERA1ER saldırıları ağırlıklı olarak hafta sonları veya resmi tatillerde gerçekleştiriyor” dedi. “Bu, para hırsızlığına ilk erişimden itibaren üç ila 12 ay harcadıkları gerçeğiyle bağlantılı.”
Mirkasymov, çetenin Afrika dışından olabileceğini ve OPERA1ER grup üyelerinin toplam sayısının bilinmediğini de sözlerine ekledi.
