一個被稱為“OPA1ER”講法語的攻擊組織在2018年至2022年期間,，針對非洲、亞洲和拉丁美洲的銀行,、金融服務(wù)和電信公司，共發(fā)起了30多次成功的網(wǎng)絡(luò)攻擊,。

　　據(jù)總部在新加坡的網(wǎng)絡(luò)安全公司Group-IB稱,，這些攻擊導(dǎo)致了上述企業(yè)共損失經(jīng)濟總額為1100萬美元，實際損失估計高達(dá)3000萬美元,。

　　在2021年和2022年期間,，該攻擊組織對布基納法索、貝寧,、象牙海岸和塞內(nèi)加爾的五家銀行成功進行網(wǎng)路攻擊,。更重要的是，許多確認(rèn)的受害組織事少被破壞了兩次,，他們的基礎(chǔ)設(shè)施隨后被武器化,，以打擊其他組織。

　　OPERA1ER,，也被稱為DESKTOP-GROUP,、Common Raven和NXSMS，自2016年以來一直在活動,，其目標(biāo)是直接對企業(yè)進行經(jīng)濟搶劫,，獲取機密文件和數(shù)據(jù)，以進一步用于魚叉式攻擊,。

　　Group-IB公司曾表示,，“OPERA1ER經(jīng)常在周末和公共假期發(fā)起攻擊，其常用的武庫大多基于開源程序和木馬,，或在暗網(wǎng)上可以找到的免費發(fā)布的RAT,。”包括現(xiàn)成的惡意軟件,，如Nanocore,、Netwire,、Agent Teslam Venom RAT、BitRAT,、Metasploit和Cobalt Strike Beacon等,。

　　從現(xiàn)有的信息來看，攻擊往往從 “高質(zhì)量的魚叉式網(wǎng)絡(luò)釣魚郵件 ”開始,，其誘餌是發(fā)票等交付內(nèi)容,，主要用法語編寫，其次是英語,。郵件中的ZIP附件可以鏈接到Google Drive,、Discord服務(wù)器、受感染的合法網(wǎng)站和其他行為人控制的域,，并借此部署遠(yuǎn)程訪問木馬的部署,。

　　在RAT執(zhí)行成功后，會自動下載并啟動Metasploit Meterpreter和Cobalt Strike Beacon等后開發(fā)框架,，以建立持久的訪問通道,，隨后獲取網(wǎng)站證書、系統(tǒng)數(shù)據(jù)等敏感信息,，為后續(xù)訪問打下基礎(chǔ),。

　　根據(jù)觀察，該攻擊組織從最初入侵到進行欺詐性交易再到自動取款機上取錢,，需要花費3至12個月的時間,。攻擊的最后階段是入侵受害組織的數(shù)字銀行后臺，并將資金從高價值賬戶轉(zhuǎn)移到數(shù)百個流氓賬戶,，并最終在事先雇用的運鈔車網(wǎng)絡(luò)的幫助下通過自動取款機將其兌現(xiàn),。

　　Group-IB解釋稱：在上述案例中，攻擊和盜取資金可能性比較高,，因為該攻擊者通過竊取不同運營商用戶的登錄憑證,，設(shè)法積累了不同級別的系統(tǒng)訪問權(quán)限。例如在某個案例中,，攻擊者使用了400個流氓賬戶來非法轉(zhuǎn)移資金,，其攻擊非常復(fù)雜，展現(xiàn)出高組織性,，協(xié)調(diào)性,，并在很長一段時間內(nèi)進行計劃。

　　與電信巨頭Orange合作進行的調(diào)查發(fā)現(xiàn),，OPERA1ER僅依靠公開可用的惡意軟件就成功完成了銀行欺詐行動,，這凸顯了為研究組織的內(nèi)部網(wǎng)絡(luò)所做的努力。

　　OPERA1ER的武器庫中沒有使用零日漏洞,，而且攻擊經(jīng)常使用三年前發(fā)現(xiàn)的漏洞,。通過緩慢而謹(jǐn)慎地在目標(biāo)系統(tǒng)中步步為營,，使他們能夠在不到三年的時間里在世界各地成功地進行了至少30次攻擊。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<