Threat Actor “OPERA1ER” Steals Millions from Banks and Telcos
2022/11/03 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、フランス語圏の脅威グループによる長期的な APT キャンペーンの存在であり、4年間で銀行や通信事業者から少なくとも $11m を盗み出したグループのことである。Group-IB は、このグループを OPERA1ER と名付けたが、以前には DESKTOP-group や Common Raven など呼ばれていたようだ。Group-IB は、Orange CERT Coordination Center と協力して、レポート OPERA1ER. Playing God without permission を作成した。
同グループが 2018年〜2022年に、主にアフリカ/バングラデシュ/アルゼンチンの銀行/金融/通信プロバイダーなどに対して、市販のツールを使って少なくとも 35件の攻撃を仕掛けてきた様子が詳細に解説されている。
Group-IB Europe の Head of Cyber Threat Research である Rustam Mirkasymov は、「最近の OPERA1ER の攻撃を詳細に分析した結果として、その手口に興味深いパターンがあることが判明した。彼らは、主として週末や祝日に攻撃を仕掛けている。つまり、イニシャル・アクセスから金銭の盗難に至るまで、3ヶ月〜12ヶ月を費やすという事実と相関している。フランス語圏のハッカー集団は、アフリカで活動していることが立証されたが、正確な人数は不明だ」と述べている。
このグループは、フリーのマルウェア群を自由に使い、Metasploit や Cobalt Strike といったレッドチーム・フレームワークを悪用することで目的を達成してきた。
彼らの攻撃の始まりは、Netwire/bitrat/venomRAT/AgentTesla/Neutrino などの RAT や、パスワード・スニッファ/ダンパーなどが隠されたブービートラップ添付ファイルを持つ、きわめて対象を絞り込んだ標的型スピアフィッシング・メールからとなる。
こうしたアクセスを成功させることで、電子メールや内部文書を流出させ、将来のフィッシング攻撃での悪用が研究されていく。また、こうしたメールや内部文書を解読することで、被害者組織が使用している複雑なデジタル決済プラットフォームを、攻撃者は理解していく。
Group-IB は、「一連の標的となったプラットフォームは、異なるタイプの操作を可能にするために、異なるアカウントを持つ3層構造のアーキテクチャを備えている。これらのシステムを侵害するために OPERA1ER は、プロセスに関与する主要人物/設置されている保護メカニズム/バックエンド・プラットフォーム操作と現金引き出しの間のリンクに関する、特定の知識を必要とするだろう」と述べている。
同社は、「つまり OPERA1ER は、ターゲットとなるシステムにゆっくりと慎重に入り込むことで、内部関係者たちから、この種の知識を得てきた。
このハッカーは、内部アカウントから盗んだ認証情報を使って、大金を管理するオペレーター・アカウントから、チャンネル・ユーザー・アカウントへ、そして、彼らの管理下にあるサブスライバー・アカウントへと資金を移動させたようだ。
その中には、数カ月前から募集していた money mules が管理する、400以上のサブスクライバー口座のネットワークを通じて、資金を引き出した事例もある。
このレポートによると、被害者である銀行の SWIFT メッセージング・インターフェース・ソフトウェアへのアクセスや、SMS サーバ・ハイジャックによる不正防止機構の回避、モバイル・バンキング・システムを通じた現金の引き出しなどに、成功しているケースもあるという。
初めて聞く OPERA1ER ですが、別名とされる DESKTOP-group と Common Raven も、このブログでは初登場です。スピアフィッシングでイニシャル・アクセスを成功させた後に、じっくりと時間をかけてデジタル決済プラットフォームを理解し、週末や祝日に攻撃を仕掛けるパターンのようです。目立たずに、狡猾に現金を盗み出す、なかなか手強いハッカー集団のようです。続報があったら、また、訳したいと思っています。
IoT OT Security News 
You must be logged in to post a comment.