Группировка OPERA1ER: преступная сеть из предприимчивых хакеров

[Artifact]

Злоумышленники используют готовые хакерские инструменты для незаметной кражи миллионов долларов у банков.

Группировка OPERA1ER украла не менее $11 млн. у банков и поставщиков телекоммуникационных услуг в Африке, используя готовые хакерские инструменты. Об этом заявили исследователи Group-IB в новом отчете .
В период с 2018 по 2022 год хакеры провели более 35 успешных атак, около 30% из них осуществлялись в 2020 году. Аналитики Group-IB отслеживают APT-группу OPERA1ER с 2019 года и заметили, что в 2021 году группа изменила свои тактики, техники и процедуры (TTPs).

Обзор деятельности OPERA1ER
Группа хакеров состоит из франкоговорящих участников, которые, как полагают эксперты, действуют из Африки. Помимо африканских компаний, группа также атаковала организации в Аргентине, Парагвае и Бангладеш.
Для компрометации серверов жертв OPERA1ER использует инструменты с открытым исходным кодом, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike.
В обнаруженной компании OPERA1ER использует фишинговые электронные письма, написанные на французском языке. В большинстве случаев сообщения выдают себя за налоговую службу или за отдел кадров Центрального банка западноафриканских государств (BCEAO).
Вложения писем доставляют множество вредоносных программ, в том числе:

• BitRAT ;

• AgentTesla ;

• Remcos ;

• Neutrino .

Group-IB также сообщает, что хакеры распространяли снифферы и инструменты для подбора паролей.
По словам исследователей, OPERA1ER могут находиться внутри скомпрометированных сетей от 3 до 12 месяцев, а иногда они атакуют одну и ту же компанию дважды. Также эксперты заявили, что хакеры могут использовать скомпрометированную инфраструктуру в качестве опорной точки для других целей.

Одно из фишинговых писем OPERA1ER
Используя украденные учетные данные, OPERA1ER получает доступ к аккаунтам почты и осуществляет боковой фишинг, а затем изучает внутреннюю документацию, чтобы понять процедуры денежных переводов и механизмы защиты. В конечном итоге киберпреступники незаметно крадут средства.
Хакеры нацелены на аккаунты операторов, которые контролируют большие суммы денег, и используют украденные учетные данные для перевода средств на счета подписчиков Telegram канала, находящихся под контролем киберпреступников.

Процедура обналичивания денег OPERA1ER
По словам Group-IB, злоумышленники снимают наличные через сеть банкоматов. В одном случае сеть из более 400 абонентских счетов, контролируемых нанятыми денежными мулами, использовалась для обналичивания украденных средств, в основном через банкоматы.
Обычно обналичивание проводилось в праздничный или выходной день, чтобы свести к минимуму шансы скомпрометированных организаций вовремя отреагировать на ситуацию.
В банках-жертвах OPERA1ER скомпрометировал систему SWIFT, которая передает все детали финансовых транзакций, и перекачал ключевую информацию о системах защиты от мошенничества, которые хакерам нужно было обойти.