Злоумышленники используют готовые хакерские инструменты для незаметной кражи миллионов долларов у банков.
https://www.securitylab.ru/upload/ib...q651f38ebk.png
Группировка OPERA1ER украла не менее $11 млн. у банков и поставщиков телекоммуникационных услуг в Африке, используя готовые хакерские инструменты. Об этом заявили исследователи Group-IB в новом отчете .
В период с 2018 по 2022 год хакеры провели более 35 успешных атак, около 30% из них осуществлялись в 2020 году. Аналитики Group-IB отслеживают APT-группу OPERA1ER с 2019 года и заметили, что в 2021 году группа изменила свои тактики, техники и процедуры (TTPs).
https://www.securitylab.ru/upload/im...t-img(690).png
Обзор деятельности OPERA1ER
Группа хакеров состоит из франкоговорящих участников, которые, как полагают эксперты, действуют из Африки. Помимо африканских компаний, группа также атаковала организации в Аргентине, Парагвае и Бангладеш.
Для компрометации серверов жертв OPERA1ER использует инструменты с открытым исходным кодом, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike.
В обнаруженной компании OPERA1ER использует фишинговые электронные письма, написанные на французском языке. В большинстве случаев сообщения выдают себя за налоговую службу или за отдел кадров Центрального банка западноафриканских государств (BCEAO).
Вложения писем доставляют множество вредоносных программ, в том числе:<ul><li>BitRAT ;</li>
</ul><ul><li>AgentTesla ;</li>
</ul><ul><li>Remcos ;</li>
</ul><ul><li>Neutrino .</li>
</ul>Group-IB также сообщает, что хакеры распространяли снифферы и инструменты для подбора паролей.
По словам исследователей, OPERA1ER могут находиться внутри скомпрометированных сетей от 3 до 12 месяцев, а иногда они атакуют одну и ту же компанию дважды. Также эксперты заявили, что хакеры могут использовать скомпрометированную инфраструктуру в качестве опорной точки для других целей.
https://www.securitylab.ru/upload/im...t-img(691).png
Одно из фишинговых писем OPERA1ER
Используя украденные учетные данные, OPERA1ER получает доступ к аккаунтам почты и осуществляет боковой фишинг, а затем изучает внутреннюю документацию, чтобы понять процедуры денежных переводов и механизмы защиты. В конечном итоге киберпреступники незаметно крадут средства.
Хакеры нацелены на аккаунты операторов, которые контролируют большие суммы денег, и используют украденные учетные данные для перевода средств на счета подписчиков Telegram канала, находящихся под контролем киберпреступников.
https://www.securitylab.ru/upload/im...t-img(692).png
Процедура обналичивания денег OPERA1ER
По словам Group-IB, злоумышленники снимают наличные через сеть банкоматов. В одном случае сеть из более 400 абонентских счетов, контролируемых нанятыми денежными мулами, использовалась для обналичивания украденных средств, в основном через банкоматы.
Обычно обналичивание проводилось в праздничный или выходной день, чтобы свести к минимуму шансы скомпрометированных организаций вовремя отреагировать на ситуацию.
В банках-жертвах OPERA1ER скомпрометировал систему SWIFT, которая передает все детали финансовых транзакций, и перекачал ключевую информацию о системах защиты от мошенничества, которые хакерам нужно было обойти.