OPERA1ER APT黑客瞄准非洲数十家金融机构

法语威胁演员配音操作人员在2018年至2022年期间，针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司的一系列成功网络攻击已超过30起。

根据总部位于新加坡的网络安全公司Group IB的说法，这些攻击导致了总计1100万美元的盗窃，实际损失估计高达3000万美元。

最近在2021和2021发生的袭击事件中，有五家银行分别位于布基纳法索、贝宁、象牙海岸和塞内加尔。据称，许多被确认的受害者曾两次遭到破坏，他们的基础设施随后被武器化，以打击其他组织。

OPERALER，也称为DESKTOP-GROUP、Common Raven和NXSMS，自2016年以来一直活跃，其目标是进行出于财务动机的抢劫和文件过滤，以进一步用于矛式网络钓鱼攻击。

IB集团在与《黑客新闻》（The Hacker News）分享的一份报告中表示：“OPERA1ER通常在周末和公众假期运行

这包括Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon等现成的恶意软件。

攻击链以“高质量鱼叉式网络钓鱼邮件”开始，邮件中包含发票、送货和雇佣主题诱饵，主要以法语编写，英语程度较低。一些虚假信件使用了移动运营商和银行之间转移数字货币的特定主题。

这些邮件包含ZIP存档附件或指向Google Drive、Discord服务器、受感染的合法网站和其他参与者控制的域的链接，从而导致部署远程访问木马。

在RAT执行成功后，Metasploit Meterpeter和Cobalt Strike Beacon等开发后框架被下载并启动，以建立持久访问、获取凭证和感兴趣的exfilter文件，但不需要在延长的侦察期之前才能了解后端操作。

事实证明，威胁行为人从最初的入侵到进行欺诈交易从ATM取款，花费了3到12个月的时间。

攻击的最后阶段涉及侵入受害者的数字银行后端，使对手能够将资金从高价值账户转移到数百个欺诈账户，并最终在事先雇佣的货币骡网络的帮助下通过ATM机将其套现。

IB集团解释说：“很明显，攻击和窃取资金是可能的，因为不良行为者通过窃取不同运营商用户的登录凭证，积累了不同级别的系统访问权限”。

在一个例子中，有400多个骡用户账户被用来非法吸走资金，这表明“攻击是非常复杂、有组织、有协调的，而且是经过长期策划的”

调查结果；与电信巨头Orange–OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈操作，这突出了研究组织内部网络的努力。

该公司指出：“OPERA1ER的武器库中没有零日威胁，这些攻击通常利用三年前发现的漏洞进行攻击”。“通过缓慢而小心地缓慢通过目标系统，他们在不到三年的时间里成功地在世界各地实施了至少30次袭击”。