安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

OPERA1ER APT 黑客盯上非洲数十家金融组织（11.03）

一个被称为OPA1ER讲法语的黑客被指与从2018年至2022年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司发起的30多次成功的网络攻击有关。

详细情况

据总部设在新加坡的网络安全公司Group-IB称，这些攻击导致了总额为1100万美元的失窃，实际损失估计高达3000万美元。

最近发生在2021年和2021年的一些攻击针对布基纳法索、贝宁、象牙海岸和塞内加尔的五家不同银行。据说，许多被确认的受害者已经被入侵了两次，他们的基础设施随后被武器化以攻击其他组织。

OPERA1ER，也被称为DESKTOP-GROUP、Common Raven和NXSMS，已知自2016年以来一直在活跃，其目标是进行有经济动机的文件窃取和泄露，以进一步用于鱼叉式攻击。

"OPERA1ER经常在周末和公共假期行动，"Group-IB在一份与《黑客新闻》分享的报告中说，对手的 "整个武库是基于开源程序和木马，或在暗网上可以找到的免费发布的远程管理工具。"

这包括现成的恶意软件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon，等等。

攻击链从 "高质量的鱼叉式网络钓鱼邮件 "开始，其发票和交付主题的钓鱼邮件主要用法语编写，其次是英语。

这些邮件包含ZIP档案附件或指向Google Drive、Discord服务器、受感染的合法网站和其他参与者控制的域的链接，这会导致远程访问木马的部署。

在远程管理工具执行成功后，下载并启动了Metasploit Meterpreter和Cobalt Strike Beacon等后渗透框架，以建立持久的访问，收集凭证，和泄露感兴趣的文件，但在延长侦察期以了解后台操作之前不会。

事实证明，威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱，需要花费3至12个月的时间。

攻击的最后阶段涉及入侵受害者的数字银行后台，使攻击者能够将资金从高价值账户转移到数百个流氓账户，并最终在事先雇用的钱骡网络的帮助下通过自动取款机将其兑现。

"Group-IB解释说："在这里，攻击和盗取资金显然是可能的，因为不良行为者通过窃取不同运营商用户的登录凭证，设法积累了不同级别的系统访问权限。

在一个例子中，超过400个骡子用户账户被用来非法抽走资金，这表明 "攻击是非常复杂的，有组织的，协调一致的，并计划了很长一段时间。

与电信巨头Orange合作进行的调查发现，OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动，这凸显了为研究组织的内部网络所做的努力。

该公司指出："OPERA1ER的武器库中没有零日威胁，而且攻击经常使用三年前发现的漏洞的利用程序"。通过缓慢而谨慎地在目标系统中步步为营，这才使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。

参考链接

https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html?&web_view=true