一個(gè)被稱為“OPA1ER”講法語的攻擊組織在2018年至2022年期間，針對(duì)非洲、亞洲和拉丁美洲的銀行、金融服務(wù)和電信公司，共發(fā)起了30多次成功的網(wǎng)絡(luò)攻擊。

　　據(jù)總部在新加坡的網(wǎng)絡(luò)安全公司Group-IB稱，這些攻擊導(dǎo)致了上述企業(yè)共損失經(jīng)濟(jì)總額為1100萬美元，實(shí)際損失估計(jì)高達(dá)3000萬美元。

　　在2021年和2022年期間，該攻擊組織對(duì)布基納法索、貝寧、象牙海岸和塞內(nèi)加爾的五家銀行成功進(jìn)行網(wǎng)路攻擊。更重要的是，許多確認(rèn)的受害組織事少被破壞了兩次，他們的基礎(chǔ)設(shè)施隨后被武器化，以打擊其他組織。

　　OPERA1ER，也被稱為DESKTOP-GROUP、Common Raven和NXSMS，自2016年以來一直在活動(dòng)，其目標(biāo)是直接對(duì)企業(yè)進(jìn)行經(jīng)濟(jì)搶劫，獲取機(jī)密文件和數(shù)據(jù)，以進(jìn)一步用于魚叉式攻擊。

　　Group-IB公司曾表示，“OPERA1ER經(jīng)常在周末和公共假期發(fā)起攻擊，其常用的武庫大多基于開源程序和木馬，或在暗網(wǎng)上可以找到的免費(fèi)發(fā)布的RAT?！卑ìF(xiàn)成的惡意軟件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon等。

　　從現(xiàn)有的信息來看，攻擊往往從 “高質(zhì)量的魚叉式網(wǎng)絡(luò)釣魚郵件 ”開始，其誘餌是發(fā)票等交付內(nèi)容，主要用法語編寫，其次是英語。郵件中的ZIP附件可以鏈接到Google Drive、Discord服務(wù)器、受感染的合法網(wǎng)站和其他行為人控制的域，并借此部署遠(yuǎn)程訪問木馬的部署。

　　在RAT執(zhí)行成功后，會(huì)自動(dòng)下載并啟動(dòng)Metasploit Meterpreter和Cobalt Strike Beacon等后開發(fā)框架，以建立持久的訪問通道，隨后獲取網(wǎng)站證書、系統(tǒng)數(shù)據(jù)等敏感信息，為后續(xù)訪問打下基礎(chǔ)。

　　根據(jù)觀察，該攻擊組織從最初入侵到進(jìn)行欺詐性交易再到自動(dòng)取款機(jī)上取錢，需要花費(fèi)3至12個(gè)月的時(shí)間。攻擊的最后階段是入侵受害組織的數(shù)字銀行后臺(tái)，并將資金從高價(jià)值賬戶轉(zhuǎn)移到數(shù)百個(gè)流氓賬戶，并最終在事先雇用的運(yùn)鈔車網(wǎng)絡(luò)的幫助下通過自動(dòng)取款機(jī)將其兌現(xiàn)。

　　Group-IB解釋稱：在上述案例中，攻擊和盜取資金可能性比較高，因?yàn)樵摴粽咄ㄟ^竊取不同運(yùn)營商用戶的登錄憑證，設(shè)法積累了不同級(jí)別的系統(tǒng)訪問權(quán)限。例如在某個(gè)案例中，攻擊者使用了400個(gè)流氓賬戶來非法轉(zhuǎn)移資金，其攻擊非常復(fù)雜，展現(xiàn)出高組織性，協(xié)調(diào)性，并在很長一段時(shí)間內(nèi)進(jìn)行計(jì)劃。

　　與電信巨頭Orange合作進(jìn)行的調(diào)查發(fā)現(xiàn)，OPERA1ER僅依靠公開可用的惡意軟件就成功完成了銀行欺詐行動(dòng)，這凸顯了為研究組織的內(nèi)部網(wǎng)絡(luò)所做的努力。

　　OPERA1ER的武器庫中沒有使用零日漏洞，而且攻擊經(jīng)常使用三年前發(fā)現(xiàn)的漏洞。通過緩慢而謹(jǐn)慎地在目標(biāo)系統(tǒng)中步步為營，使他們能夠在不到三年的時(shí)間里在世界各地成功地進(jìn)行了至少30次攻擊。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<