محققای symantec یه گزارشی منتشر کردن در خصوص یه گروه هکری بنام Bluebottle که بانکهای کشورهای آفریقایی فرانسوی زبان رو هدف قرار میدن و احتمالا تونستن 11 میلیون دلار از این بانکها سرقت کنن.
فعالیت این گروه خیلی شبیه به گروه OPERA1ER هستش که از سال 2018 تا 2020 تونستن 35 حمله موفق داشته باشن.
احتمال میدن که این گروه اعضای فرانسوی زبان دارن و تو آفریقا هم هستن. البته حملاتی رو به آرژانتین و بنگلادش و پاراگوئه هم داشتن.
ابزارها و تکنیکهای این گروه :
تو این حملات از یه ابزاری بنام GuLoader استفاده کردن که میتونه بدافزار و یه درایور امضا شده (حالت کرنل) رو لوود کنه . مهاجم میتونه از این تکنیک برای دور زدن و غیر فعال کردن محصولات امنیتی استفاده بکنه.
درایورهایی که استفاده کردن توسط Mandiant با نام POORTRY نام گذاری شده که دارای امضای مایکروسافت هستن و توسط چندین گروه مجرم سایبری استفاده شدن. موردی که سیمانتک بررسی کرده همون درایور بوده و توسط یه شرکت چینی بنام Zhuhai Liancheng Technology Co., Ltd امضا شده.
این نشون میده که مجرمان سایبری ، ارائه دهندگانی دارن که میتونن امضاهای قانونی رو از نهادهای مورد اعتماد ارائه بدن و مهاجمین از اونها استفاده کنن.
از این درایور تو یه حمله باج افزاری در کانادا هم استفاده شده.
این گروه علاوه بر GuLoader ، برای دسترسی اولیه از حملات فیشینگ حاوی ضمیمه های مخرب ISO هم استفاده کردن. تو یه مورد بدافزار از طریق CD-ROM نصب شده که میتونه از طریق نصب از روی دیسک باشه یا هم مانت ISO .
این گروه تو حملاتشون از ابزارهای دیگه ای مانند : Quser ، Ngrok ، Xcopy ، Ping ، Net ، Netsh ، Autoupdatebat و Mimikatz و Reveal Keylogger و تروجان Netwire ، هم استفاده کردن.
این گروه بعد از سه هفته از دسترسی اولیه به هدف ، شروع به حرکات جانبی در شبکه قربانی ها کردن.
سیمانتک گفته ، اگرچه فعالیت گروههای OPERA1ER و Bluebottle یکی هستش ، اما نمیتونه بطور دقیق این تایید کنه که اینا یه گروه هستن.