freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

非洲数十个金融组织遭黑客攻击,损失巨大
2022-11-04 10:28:36
所属地 上海

一个被称为“OPA1ER”讲法语的攻击组织在2018年至2022年期间,针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司,共发起了30多次成功的网络攻击。

据总部在新加坡的网络安全公司Group-IB称,这些攻击导致了上述企业共损失经济总额为1100万美元,实际损失估计高达3000万美元。

在2021年和2022年期间,该攻击组织对布基纳法索、贝宁、象牙海岸和塞内加尔的五家银行成功进行网路攻击。更重要的是,许多确认的受害组织事少被破坏了两次,他们的基础设施随后被武器化,以打击其他组织。

OPERA1ER,也被称为DESKTOP-GROUP、Common Raven和NXSMS,自2016年以来一直在活动,其目标是直接对企业进行经济抢劫,获取机密文件和数据,以进一步用于鱼叉式攻击。

Group-IB公司曾表示,"OPERA1ER经常在周末和公共假期发起攻击,其常用的武库大多基于开源程序和木马,或在暗网上可以找到的免费发布的RAT。"包括现成的恶意软件,如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon等。

从现有的信息来看,攻击往往从 "高质量的鱼叉式网络钓鱼邮件 "开始,其诱饵是发票等交付内容,主要用法语编写,其次是英语。邮件中的ZIP附件可以链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域,并借此部署远程访问木马的部署。

在RAT执行成功后,会自动下载并启动Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架,以建立持久的访问通道,随后获取网站证书、系统数据等敏感信息,为后续访问打下基础。

根据观察,该攻击组织从最初入侵到进行欺诈性交易再到自动取款机上取钱,需要花费3至12个月的时间。攻击的最后阶段是入侵受害组织的数字银行后台,并将资金从高价值账户转移到数百个流氓账户,并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。

Group-IB解释称:在上述案例中,攻击和盗取资金可能性比较高,因为该攻击者通过窃取不同运营商用户的登录凭证,设法积累了不同级别的系统访问权限。例如在某个案例中,攻击者使用了400个流氓账户来非法转移资金,其攻击非常复杂,展现出高组织性,协调性,并在很长一段时间内进行计划。

与电信巨头Orange合作进行的调查发现,OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动,这凸显了为研究组织的内部网络所做的努力。

OPERA1ER的武器库中没有使用零日漏洞,而且攻击经常使用三年前发现的漏洞。通过缓慢而谨慎地在目标系统中步步为营,使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。

参考来源:https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者