Armés et dangereux : une soif d’argent inextinguible

L’APT OPERA1ER en Afrique

En 2021, en collaboration avec Orange CERT-CC, l’idée est venu de publier un rapport complet (maintenant connu sous le nom de "OPERA1ER. Jouer à Dieu sans permission") qui décrirait en détail cette menace persistante, cartographierait tous les TTP et les méthodes que ce groupe criminel utilise et qui sont restées inaperçues dans le réseau pendant des années.

Actif et dangereux de 2018 à 2022, le gang francophone a réussi à mener plus de 30 attaques réussies contre des banques, services financiers et entreprises de télécommunications, principalement situés en Afrique. Il est confirmé qu’OPERA1ER a dérobé au moins 11 millions de dollars, selon Group-IB.

De toute évidence, ces attaquants manquent rarement de ressources, et ils ont inévitablement remarqué un intérêt croissant pour leur activité et ont réagi en supprimant leurs comptes et en modifiant certains TTP afin de brouiller les pistes. Nous risquions alors de les perdre de vue. Pour éviter que cela ne se produise, l'équipe de Group-IB a décidé de suspendre la publication de notre rapport et d'attendre qu’ils réapparaissent.

Après tout ce temps, nous sommes ravis d’enfin publier ce rapport “OPERA1ER : Jouer à Dieu sans permission” en étroite collaboration avec Orange CERT-CC. Ce rapport est vraiment unique : il récapitule plusieurs années de recherche et d'expérience pratique, et illustre le résultat parfait d'une collaboration internationale ainsi que les contributions inestimables de nombreuses organisations et experts.

Nous sommes extrêmement reconnaissants de leur soutien. Vous trouverez une liste complète des contributeurs dans ce rapport.

Les acteurs malveillants développent constamment de nouveaux TTP et, en août 2022, avec l'aide de Przemyslaw Skowron, Group-IB a identifié de nouveaux serveurs Cobalt Strike utilisés par OPERA1ER.

Nos équipes ont analysé l'infrastructure nouvellement détectée, révélant que de la fin de la rédaction du rapport à aujourd’hui, cet attaquant avait mené 5 autres attaques ciblant :

• Une banque au Burkina Faso en 2021
• Une banque en Bénin en 2021
• Deux banques en Côte d’Ivoire en 2022
• Une banque au Sénégal en 2022

De plus, il est important de garder à l'esprit que certains IOC et certains conseils de chasse présentés dans le rapport sont désormais obsolètes, mais il est intéressant de lire cet article jusqu'à la fin pour obtenir des mises à jour importantes. La matrice MITRE se retrouve donc dans une situation similaire et nous vous recommandons de la lire en utilisant les informations mises à jour des 5 nouvelles attaques indiquées infra.

Dans cet article, nous partageons des indicateurs réseau pertinents et à jour et des techniques de chasse supplémentaires, que vous pourrez trouver ci-dessous. Ces résultats supplémentaires sont supposés combler les lacunes dans l'historique de cet APT afin que la communauté de la cybersécurité puisse mieux suivre l'activité d'OPERA1ER, mais le rapport complet est indispensable afin d'obtenir une vue globale.

Tout d’abord, m. Skowron remarqua que l’attaquant utilisait une PublicKey spécifique sur ses serveurs Cobalt Strike : "PublicKey_MD5": "52c66274994172447b21054744cc5b69".

En utilisant cette empreinte, nous avons identifié les serveurs :

• files[.]ddrive[.]online
• 20[.]91[.]192[.]253
• 188[.]126[.]90[.]14

En utilisant l’outil Graph de Group-IB Threat Intelligence, nous avons pu mener une enquête en profondeur :

D’après le Graph, les trois serveurs trouvés sont connectés à l’infrastructure mentionnée dans notre rapport. Les empreintes alors trouvées sur ces serveurs sont :

• Utilisation de BitRAT
• Utilisation d’infrastructures VPN comme FrootVPN
• Utilisation de DynDNS

La seule partie manquante ici est un écouteur Cobalt Strike sur le port 777. Nous connaissons son existence car nous avons observé OPERA1ER déployer des Beacons Cobalt Strike. Avec une analyse détaillée, Group-IB a pu identifier une nouvelle heuristique pour chasser l’infrastructure malveillante d’OPERA1ER.

Avec le Graph, nous avons également détecté :

• banqueislamik[.]ddrive[.]online
• 178[.]73[.]192[.]17
• 46[.]246[.]84[.]17
• 46[.]246[.]84[.]21

L’un des serveurs contient une autre PublicKey :

Avec cette PublicKey, les serveurs suivants ont été identifiés :

• 43[.]205[.]33[.]202
• 46[.]246[.]84[.]74
• 72[.]11[.]142[.]240
• 178[.]73[.]192[.]17

Pendant l’analyse des serveurs supra, nous avons trouvé une nouvelle heuristique pour identifier les autres :

Empreinte SSH:"657a78dcd2c190f00b2f4ef745dd2cdd"

Comme nous l’avons indiqué, n’hésitez pas à consulter le rapport complet “OPERA1ER : Jouer à Dieu sans permission” pour obtenir les informations complètes sur les opérations d’OPERA1ER. Si vous souhaitez en apprendre plus sur notre Graph Threat Intelligence, vous pouvez contacter nos experts

43[.]205[.]33[.]202
46[.]246[.]84[.]74
72[.]11[.]142[.]240
178[.]73[.]192[.]17
banqueislamik[.]ddrive[.]online
46[.]246[.]84[.]17
46[.]246[.]84[.]21
files[.]ddrive[.]online
20[.]91[.]192[.]253
188[.]126[.]90[.]14
2707299e9ec7fb2173f6afb2e23a4d74865cf5a3
17e0b8fe9acfd1776a1566ce5ed6f051f7e0f91f
ac85af8395d1b97a8cbcbd16f995ce119e3c4955