据信,该组织在非洲、亚洲和拉丁美洲15个国家的30多次网络攻击中窃取了估计1100万美元(可能高达3000万美元)。
国际刑警组织在一份新闻简报中表示,一名疑似黑客组织OPERA1ER的高级成员在多个国际执法机构联合开展的“Nervone行动”中被捕。
国际刑警组织说:“经过广泛的合作,国际刑警组织、非洲刑警组织、Group-IB和科特迪瓦信息与追踪技术局(DITT)宣布逮捕该组织的一名涉嫌高级成员,给他们的犯罪活动带来了重大打击。”
OPERA1ER(也称为NX$M$、DESKTOP Group和Common Raven)已经运营四年多了。它是一个组织严密的犯罪团伙,以金融机构和移动银行服务为目标,实施恶意软件、网络钓鱼活动和大规模的商业电子邮件泄露(BEC)骗局。
国际刑警组织表示:“据信,该组织在非洲、亚洲和拉丁美洲15个国家的30多次袭击中窃取了估计1100万美元,甚至可能高达3000万美元。”
Nervone行动
Nervone行动得到了国际刑警组织(Interpol)两项重要举措的支持——非洲打击网络犯罪联合行动,以及国际刑警组织对非洲联盟的支持计划,该计划与非盟的非洲警察组织(Afripol)政府间警察协调机构合作。这些举措分别由英国外交、联邦与发展办公室和德国联邦外交部资助。
国际刑警组织在新闻稿中表示:“六月初,科特迪瓦当局逮捕了一名与非洲各地金融机构袭击事件有关的关键嫌疑人。”
Group-IB的研究人员于2018年首次发现该组织的非法电子邮件活动,当时他们发现负责传播远程访问工具等恶意软件的鱼叉式网络钓鱼行动。
美国特勤局刑事调查部和Booz Allen Hamilton网络安全团队DarkLabs的研究人员分享了有助于调查的其他信息。
黑客组织OPERA1ER
据Group-IB称,OPERA1ER是一个讲法语、出于经济动机的黑客组织。这家网络安全公司识别出OPERA1ER在2019年至2021年期间实施的至少30起攻击。该组织在所有这些攻击中成功入侵了支付和网上银行系统。
在至少两家银行中,OPERA1ER能够访问SWIFT消息接口,该接口用于传达金融交易的详细信息。
该组织使用鱼叉式网络钓鱼电子邮件作为其初始攻击媒介。这些电子邮件包含指向GoogleDrive、Discord服务器、受感染的合法网站和属于威胁行为者的恶意服务器的链接。大多数电子邮件都是用法语写的,但研究人员也报告了用英语写的电子邮件。Group-IB在报告中表示:“此外,这封电子邮件仅针对同一国家/地区的18名用户,所有用户都与该主题相关的金融服务以及一些VIP相关。”
该组织在2019年至2020年间使用了多种有效负载,包括NanoCore、H-Worm(Houdini Worm)、WSHRat、Remcos、Adwind或QNodeJS。
Group-IB在研究中表示:“一旦部署了初始RAT,控制者就会分析受感染的机器。当一台被感兴趣的机器被感染时,Metasploit Meterpreter或Cobalt Strike Beacon就会被下载并启动。”他补充说,该组织通常在最初入侵和最后执行有效载荷后等待一年。
Group-IB表示:“大部分信息都是用法语写的,模仿了虚假的税务局通知或招聘信息。”“OPERA1ER能够访问受影响组织使用的内部支付系统,并利用该系统提取资金。”
该团伙最终会在节假日或周末通过广泛的ATM网络以现金形式提取赃款,以避免被发现。据赛门铁克称,OPERA1ER与网络犯罪组织Bluebottle之间还发现了联系,Bluebottle使用了签名的Windows驱动程序对非洲法语国家的至少三家银行进行了攻击。