Một tác nhân đe dọa nói tiếng Pháp được mệnh danh làOPERA1ERđã được liên kết với một loạt hơn 30 cuộc tấn công mạng thành công nhằm vào các ngân hàng, dịch vụ tài chính và các công ty viễn thông trên khắp Châu Phi, Châu Á và Châu Mỹ Latinh từ năm 2018 đến năm 2022.
Theo công ty an ninh mạng Group-IB có trụ sở tại Singapore, các cuộc tấn công đã dẫn đến các vụ trộm tổng cộng 11 triệu USD, với thiệt hại thực tế ước tính lên tới 30 triệu USD.
Một số cuộc tấn công gần đây hơn vào năm 2021 đã chỉ ra năm ngân hàng khác nhau ở Burkina Faso, Benin, Bờ Biển Ngà và Senegal. Nhiều nạn nhân được xác định được cho là đã bị xâm phạm hai lần và cơ sở hạ tầng của họ sau đó đã được vũ khí hóa để tấn công các tổ chức khác.
OPERA1ER, còn được biết đến với cái tên DESKTOP-GROUP, Common Raven và NXSMS, được biết là hoạt động từ năm 2016, hoạt động với mục tiêu tiến hành các vụ trộm có động cơ tài chính và xâm nhập tài liệu để sử dụng thêm trong các cuộc tấn công lừa đảo.
"OPERA1ER thường hoạt động vào cuối tuần và ngày lễ," Group-IB cho biết trong một báo cáo được chia sẻ với The Hacker News, nói thêm rằng "toàn bộ kho vũ khí của đối thủ dựa trên các chương trình mã nguồn mở và trojan, hoặc RAT được xuất bản miễn phí có thể được tìm thấy trên dark web."
Điều này bao gồm phần mềm độc hại có sẵn như Nanocore, Netwire, Đặc vụ Teslam Venom RAT, BitRAT, Metasploit và Cobalt Strike Beacon, trong số những phần mềm khác.
Chuỗi tấn công bắt đầu với "email lừa đảo qua mạng chất lượng cao" với mồi nhử theo chủ đề hóa đơn và giao hàng được viết chủ yếu bằng tiếng Pháp và ở mức độ thấp hơn bằng tiếng Anh.
Các thư này có các tệp đính kèm lưu trữ ZIP hoặc liên kết đến Google Drive, máy chủ Discord, các trang web hợp pháp bị nhiễm và các miền khác do tác nhân kiểm soát, dẫn đến việc triển khai trojan truy cập từ xa.
Thành công trong việc thực thi RAT, các khuôn khổ sau khai thác như Metasploit Meterpreter và Cobalt Strike Beacon được tải xuống và khởi chạy để thiết lập quyền truy cập liên tục, thu thập thông tin đăng nhập và lọc các tệp quan tâm, nhưng không phải trước một thời gian trinh sát kéo dài để hiểu các hoạt động back-end.
Điều này được chứng minh bằng thực tế là tác nhân đe dọa đã được quan sát thấy chi tiêu từ ba đến 12 tháng từ khi xâm nhập ban đầu đến khi thực hiện các giao dịch gian lận để rút tiền từ máy ATM.
Giai đoạn cuối cùng của cuộc tấn công liên quan đến việc đột nhập vào chương trình phụ trợ ngân hàng kỹ thuật số của nạn nhân, cho phép kẻ thù chuyển tiền từ các tài khoản có giá trị cao sang hàng trăm tài khoản lừa đảo, và cuối cùng rút tiền mặt qua máy ATM với sự trợ giúp của mạng lưới tiền được thuê trước.
"Ở đây rõ ràng là cuộc tấn công và đánh cắp tiền là có thể xảy ra bởi vì những kẻ xấu đã cố gắng tích lũy các cấp độ quyền truy cập khác nhau vào hệ thống bằng cách đánh cắp thông tin đăng nhập của nhiều người dùng nhà điều hành khác nhau," Group-IB giải thích.
Trong một trường hợp, hơn 400 tài khoản thuê bao la đã được sử dụng để hút tiền bất hợp pháp, cho thấy rằng "cuộc tấn công rất tinh vi, có tổ chức, phối hợp và lên kế hoạch trong một thời gian dài"
Những phát hiện - được thực hiện với sự hợp tác của gã khổng lồ viễn thông Orange - rằng OPERA1ER đã xoay sở để thực hiện hoạt động gian lận ngân hàng bằng cách chỉ dựa vào phần mềm độc hại có sẵn công khai làm nổi bật nỗ lực đã đi vào nghiên cứu mạng nội bộ của các tổ chức.
"Không có mối đe dọa zero-day nào trong kho vũ khí của OPERA1ER và các cuộc tấn công thường sử dụng khai thác cho các lỗ hổng được phát hiện ba năm trước," công ty lưu ý. "Bằng cách từ từ và cẩn thận nhích từng bước qua hệ thống mục tiêu, họ đã có thể thực hiện thành công ít nhất 30 cuộc tấn công trên toàn thế giới trong vòng chưa đầy ba năm."