一個被稱為“OPA1ER”講法語的攻擊組織在2018年至2022年期間，針對非洲、亞洲和拉丁美洲的銀行、金融服務(wù)和電信公司，共發(fā)起了30多次成功的網(wǎng)絡(luò)攻擊。

　　據(jù)總部在新加坡的網(wǎng)絡(luò)安全公司Group-IB稱，這些攻擊導(dǎo)致了上述企業(yè)共損失經(jīng)濟總額為1100萬美元，實際損失估計高達3000萬美元。

　　在2021年和2022年期間，該攻擊組織對布基納法索、貝寧、象牙海岸和塞內(nèi)加爾的五家銀行成功進行網(wǎng)路攻擊。更重要的是，許多確認的受害組織事少被破壞了兩次，他們的基礎(chǔ)設(shè)施隨后被武器化，以打擊其他組織。

　　OPERA1ER，也被稱為DESKTOP-GROUP、Common Raven和NXSMS，自2016年以來一直在活動，其目標是直接對企業(yè)進行經(jīng)濟搶劫，獲取機密文件和數(shù)據(jù)，以進一步用于魚叉式攻擊。

　　Group-IB公司曾表示，“OPERA1ER經(jīng)常在周末和公共假期發(fā)起攻擊，其常用的武庫大多基于開源程序和木馬，或在暗網(wǎng)上可以找到的免費發(fā)布的RAT。”包括現(xiàn)成的惡意軟件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon等。

　　從現(xiàn)有的信息來看，攻擊往往從 “高質(zhì)量的魚叉式網(wǎng)絡(luò)釣魚郵件 ”開始，其誘餌是發(fā)票等交付內(nèi)容，主要用法語編寫，其次是英語。郵件中的ZIP附件可以鏈接到Google Drive、Discord服務(wù)器、受感染的合法網(wǎng)站和其他行為人控制的域，并借此部署遠程訪問木馬的部署。

　　在RAT執(zhí)行成功后，會自動下載并啟動Metasploit Meterpreter和Cobalt Strike Beacon等后開發(fā)框架，以建立持久的訪問通道，隨后獲取網(wǎng)站證書、系統(tǒng)數(shù)據(jù)等敏感信息，為后續(xù)訪問打下基礎(chǔ)。

　　根據(jù)觀察，該攻擊組織從最初入侵到進行欺詐性交易再到自動取款機上取錢，需要花費3至12個月的時間。攻擊的最后階段是入侵受害組織的數(shù)字銀行后臺，并將資金從高價值賬戶轉(zhuǎn)移到數(shù)百個流氓賬戶，并最終在事先雇用的運鈔車網(wǎng)絡(luò)的幫助下通過自動取款機將其兌現(xiàn)。

　　Group-IB解釋稱：在上述案例中，攻擊和盜取資金可能性比較高，因為該攻擊者通過竊取不同運營商用戶的登錄憑證，設(shè)法積累了不同級別的系統(tǒng)訪問權(quán)限。例如在某個案例中，攻擊者使用了400個流氓賬戶來非法轉(zhuǎn)移資金，其攻擊非常復(fù)雜，展現(xiàn)出高組織性，協(xié)調(diào)性，并在很長一段時間內(nèi)進行計劃。

　　與電信巨頭Orange合作進行的調(diào)查發(fā)現(xiàn)，OPERA1ER僅依靠公開可用的惡意軟件就成功完成了銀行欺詐行動，這凸顯了為研究組織的內(nèi)部網(wǎng)絡(luò)所做的努力。

　　OPERA1ER的武器庫中沒有使用零日漏洞，而且攻擊經(jīng)常使用三年前發(fā)現(xiàn)的漏洞。通過緩慢而謹慎地在目標系統(tǒng)中步步為營，使他們能夠在不到三年的時間里在世界各地成功地進行了至少30次攻擊。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<