新加坡安全企业Group-IB上周公布了黑客集团Opera1er的研究报告,指出该黑客集团即使只使用市场上已知的各种工具,却依然在4年内成功执行超过30次的攻击,自主要位于非洲的银行、金融服务及电信公司盗走了至少1,100万美元。
虽然Opera1er在2016年就注册了网址,但实际展开攻击行动则是在2018年,该集团的特色之一是仅使用既有的开源工具、于暗网中可免费取得的恶意程序,以及热门的Metasploit与Cobalt Strike的框架,也因此,Opera1er必须采用与众不同的攻击手法,其中一个例子是在入侵组织之后,利用基础设施中所部署的杀毒更新服务器作为支撑。
Opera1er的另一个特色是具备非常高级的鱼叉式网络钓鱼攻击技术,先以网络钓鱼邮件攻击目标组织的特定团队,多数邮件是以法文撰写,可能是假冒税务机关的通知,或是西非国家中央银行的招聘报价,借由这些邮件的附加文件来传播各种远程访问木马,或者是密码窃取程序。
图片来源/Group-IB
在取得初步的访问权限之后,Opera1er会再利用该账号访问电子邮件内容与内部文件,以展开下一阶段的网络钓鱼攻击。由于Opera1er所瞄准的通常是采用复杂数字货币平台的组织,因此通常会花费大量的精力来研究内部文件,以了解内部程序的关键人物,所部署的保护机制,以及后端系统与提款之间的连接。
在这4年间,就有12个非洲国家受害,成功攻击次数为32次,光是科特迪瓦(Ivory Coast)就被攻击了14次,有些组织甚至重复被成功攻击。
Opera1er锁定的是存有大量金额的机构账户,使用盗来的凭证将金钱转到Channel User账户,之后再转移至由Opera1er控制的人头账户。Group-IB的研究显示,Opera1er聘请了一个拥有超过400个人头账户的钱螺,他们则通过ATM将钱领出。
Group-IB建议,要阻挡Opera1er攻击的三大关键步骤分别是侦测恶意邮件与网络钓鱼连接,监控基础设施的可疑行动,以及确安全全漏洞的修补。