Araştırmacıların Opera1er dediği bir tehdit grubu, hazır hackleme araçlarını kullanarak Afrika'daki bankalar ve telekomünikasyon hizmet sağlayıcılarından en az 11 milyon dolar çaldı.
2018 ve 2022 arasında, bilgisayar korsanları yaklaşık üçte biri 2020'de gerçekleştirilen 35'ten fazla başarılı saldırı başlattı.
Grup-IB'deki analistler, Orange'daki CERT-CC departmanı ile çalışan, 2019'dan beri Opera1er'i izliyor ve grubun geçen yıl tekniklerini, taktiklerini ve prosedürlerini (TTPS) değiştirdiğini fark ettiler.
Tehdit oyuncusu parçalarını kaybetme konusunda endişe duyan siber güvenlik şirketi, grubun güncellenmiş bir rapor yayınlamasını beklemesini bekledi. Bu yıl, Grup-IB, bilgisayar korsanlarının bir kez daha aktif olduğunu gözlemledi.
Hacker grubu, Afrika'dan faaliyet gösterdiğine inanılan Fransızca konuşan üyelerden oluşuyor. Afrika'daki şirketleri hedeflemenin yanı sıra, çete ayrıca Arjantin, Paraguay ve Bangladeş'teki organizasyonlara da vurdu.
Opera1er, şirket sunucularından ödün vermek için açık kaynaklı araçlara, emtia kötü amaçlı yazılımlara ve Metasploit ve Cobalt Strike gibi çerçevelere güvenir.
Faturalar veya posta dağıtım bildirimleri gibi popüler konulardan yararlanan mızrak aktı e-postaları aracılığıyla ilk erişimi elde ederler.
E-postalar, aralarında NetWire, Bitrat, Venomrat, AgentTesla, Remcos, Nötrino, Blacknet ve Venom Rat'ı olan birinci aşamalı kötü amaçlı yazılımları sunan eklere sahiptir. Grup-IB ayrıca bilgisayar korsanlarının şifre koklayıcıları ve çöplükler dağıttığını söylüyor.
Araştırmacılara göre, Opera1er, tehlikeye atılan ağların içinde üç ila on iki ay arasında geçirebilir ve bazen aynı şirkete iki kez saldırırlar.
Araştırmacılar, bir kurban ağına eriştikten sonra, bilgisayar korsanlarının altyapıyı diğer hedeflere bir pivot noktası olarak da kullanabileceğini söylüyor.
Grup-IB, tehdit oyuncusunun Fransızca yazılan “yüksek kaliteli” mızrak-aktı e-postaları oluşturduğunu söylüyor. Çoğu zaman, mesajlar hükümet vergi bürosuna veya Batı Afrika Devletleri Merkez Bankası'ndan (BCEAO) bir işe alım acentesini taklit eder.
Çalıntı kimlik bilgilerini kullanarak Opera1er, e -posta hesaplarına erişir ve yanal kimlik avı gerçekleştirir, para transferi prosedürlerini ve koruma mekanizmalarını anlamak için dahili belgeleri inceler ve son adım atarak nihai, nihai adımları dikkatle planlar.
Tipik olarak, bilgisayar korsanları, büyük miktarda parayı kontrol eden ve fonları kanal kullanıcı hesaplarına aktarmak için çalıntı kimlik bilgilerini kullanan operatör hesaplarını hedef aldı ve sonunda bunları kontrolleri altında abone hesaplarına taşıyorlar.
Bugün bir raporda, Grup-Ib çetenin bir ATM ağı aracılığıyla parayı geri çektiğini açıklıyor.
“Araştırmacılar tarafından incelenen bir vakada, Opera1er tarafından işe alınan para katırları tarafından kontrol edilen 400'den fazla abone hesabından oluşan bir ağ, çalınan fonlardan nakit parayı sağlamak için kullanıldı” - Grup -Ib.
Genellikle, nakit parası etkinliği, tehlikeye atılan kuruluşların duruma zaman içinde yanıt verme şansını en aza indirmek için bir tatilde veya hafta sonu gerçekleşti.
Mağdur bankalarda Opera1er, finansal işlem için tüm ayrıntıları ileten hızlı mesajlaşma arayüzü yazılımını hedefledi ve atlamak için ihtiyaç duydukları kavrayışla mücadele sistemleri hakkında temel bilgileri sifonladı.
Uzlaşma göstergelerinin (IOCS) tam listesi ve Opera1er'e atfedilen saldırılar için teknik detaylar için 75 sayfalık bir teknik rapor yayınladı.
Hackerlar, kötü amaçlı yazılımları kontrol etmek için Microsoft IIS Web Server günlüklerini kullanır
Bilgisayar korsanları uzun siber başarı kampanyasında Asya casinolarını hedef
Rus DDOS Saldırı Projesi Daha Fazla Ateş Gücü için Katkıda Buluyor
Lofygang Hackers, Discord, NPM hakkında kimlik bilgisi çalan bir işletme kurdu
Chase UK'nin sadece uygulama bankası 24 saat süren kesinti ile vuruldu
Kaynak: Bleeping Computer