Ngày 05 tháng 1 năm 2023Ravie LakshmananTội phạm mạng / An ninh ngân hàng
Một nhóm tội phạm mạng có tên là Bluebottle đã được liên kết với một loạt các cuộc tấn công có chủ đích nhằm vào lĩnh vực tài chính ở các quốc gia Pháp ngữ ở Châu Phi từ ít nhất là tháng 7 năm 2022 đến tháng 9 năm 2022.
Symantec, một bộ phận của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News: “Nhóm sử dụng rộng rãi các công cụ sử dụng kép và phần mềm độc hại hàng hóa, không có phần mềm độc hại tùy chỉnh nào được triển khai trong chiến dịch này”. .
Công ty an ninh mạng cho biết hoạt động chia sẻ trùng lặp với cụm mối đe dọa được Group-IB theo dõi với tên OPERA1ER, nhóm này đã thực hiện hàng chục cuộc tấn công nhằm vào các ngân hàng, dịch vụ tài chính và công ty viễn thông ở Châu Phi, Châu Á và Châu Mỹ Latinh từ năm 2018 đến năm 2018. 2022.
Sự quy kết bắt nguồn từ những điểm tương đồng trong bộ công cụ được sử dụng, cơ sở hạ tầng tấn công, không có phần mềm độc hại riêng biệt và nhắm mục tiêu vào các quốc gia nói tiếng Pháp ở Châu Phi. Ba tổ chức tài chính giấu tên khác nhau ở ba quốc gia châu Phi đã bị xâm phạm, mặc dù không biết liệu Bluebottle có kiếm tiền thành công từ các cuộc tấn công hay không.
Đối thủ có động cơ tài chính, còn được biết đến với cái tên DESKTOP-GROUP, đã chịu trách nhiệm cho một chuỗi vụ trộm tổng trị giá 11 triệu đô la, với thiệt hại thực tế lên tới 30 triệu đô la.
Các cuộc tấn công gần đây minh họa cho các chiến thuật đang phát triển của nhóm, bao gồm sử dụng phần mềm độc hại có sẵn có tên là GuLoader trong giai đoạn đầu của chuỗi lây nhiễm cũng như vũ khí hóa trình điều khiển hạt nhân để vô hiệu hóa hệ thống phòng thủ bảo mật.
Symantec cho biết họ không thể theo dõi vectơ xâm nhập ban đầu, mặc dù nó đã phát hiện các tệp theo chủ đề công việc trên mạng nạn nhân, cho thấy rằng việc thuê các mồi nhử lừa đảo liên quan có thể được sử dụng để lừa các mục tiêu mở các tệp đính kèm email độc hại.
Ngoài ra, một cuộc tấn công được phát hiện vào giữa tháng 5 năm 2022 liên quan đến việc phân phối phần mềm độc hại đánh cắp thông tin dưới dạng tệp ZIP chứa tệp trình bảo vệ màn hình (.SCR) có thể thực thi. Cũng được quan sát thấy vào tháng 7 năm 2022 là việc sử dụng tệp hình ảnh đĩa quang (.ISO), tệp này đã được nhiều tác nhân đe dọa sử dụng làm phương tiện phát tán phần mềm độc hại.
Các nhà nghiên cứu lưu ý: “Nếu các tác nhân của Bluebottle và OPERA1ER thực sự là một, thì điều này có nghĩa là chúng đã hoán đổi các kỹ thuật lây nhiễm của mình từ tháng 5 đến tháng 7 năm 2022”.
Các tệp đính kèm lừa đảo trực tiếp dẫn đến việc triển khai GuLoader, sau đó hoạt động như một đường dẫn để thả các tải trọng bổ sung vào máy, chẳng hạn như Netwire, Quasar RAT và Cobalt Strike Beacon. Chuyển động ngang được hỗ trợ thông qua các công cụ như PsExec và SharpHound.
Một kỹ thuật khác được nhóm áp dụng là sử dụng trình điều khiển đã ký để chấm dứt phần mềm bảo mật, một phương pháp đã được nhiều nhóm hack sử dụng cho các mục đích tương tự, theo phát hiện từ Mandiant, SentinelOne và Sophos vào tháng trước.
Với các tác nhân đe dọa bị nghi là nói tiếng Pháp, có khả năng các cuộc tấn công có thể mở rộng sang các quốc gia nói tiếng Pháp khác trên thế giới, công ty cảnh báo.
Các nhà nghiên cứu cho biết: “Hiệu quả của các chiến dịch của nó có nghĩa là Bluebottle khó có thể ngừng hoạt động này”. “Dường như nó rất tập trung vào các quốc gia Pháp ngữ ở Châu Phi, vì vậy các tổ chức tài chính ở các quốc gia này nên duy trì cảnh giác cao độ.”
