Исследователи из Symantec обнаружили, что деятельность группировки Bluebottle совпадает с TTPs группы OPERA1ER.
По словам аналитиков, участники Bluebottle использовали подписанный драйвер Windows в атаках на банки во франкоязычных странах. Примечательно, что группа OPERA1ER состоит из франкоговорящих хакеров и базируется в Африке, атакуя местные организации, а также компании в Аргентине, Парагвае и Бангладеш. По словам Symantec, действия и цели хакеров из обеих групп совпадают.
Исследователи выяснили, что обе группировки использовали инструмент GuLoader для загрузки вредоносных программ и подписанного драйвера, а также отключения средств защиты в сети жертвы.
GuLoader состоит из двух компонентов:
Исследователи Symantec проанализировали атаки Bluebottle на 3 финансовых учреждения в африканских странах. В одном из них злоумышленники использовали несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, Ngrok, Net localgroup, Netsh и др.)
Также Bluebottle использовали вредоносные программы GuLoader, Mimikatz, Reveal Keylogger и RAT-троян Netwire. Хакеры совершали боковое перемещение через 3 недели после первоначальной компрометации, используя командную строку и PsExec.
По словам аналитиков, участники Bluebottle использовали подписанный драйвер Windows в атаках на банки во франкоязычных странах. Примечательно, что группа OPERA1ER состоит из франкоговорящих хакеров и базируется в Африке, атакуя местные организации, а также компании в Аргентине, Парагвае и Бангладеш. По словам Symantec, действия и цели хакеров из обеих групп совпадают.
Исследователи выяснили, что обе группировки использовали инструмент GuLoader для загрузки вредоносных программ и подписанного драйвера, а также отключения средств защиты в сети жертвы.
GuLoader состоит из двух компонентов:
- DLL-библиотека, которая считывает список процессов;
- Подписанный «вспомогательный» драйвер, который управляется «основным» драйвером и используется для завершения процессов в списке.
Исследователи Symantec проанализировали атаки Bluebottle на 3 финансовых учреждения в африканских странах. В одном из них злоумышленники использовали несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, Ngrok, Net localgroup, Netsh и др.)
Также Bluebottle использовали вредоносные программы GuLoader, Mimikatz, Reveal Keylogger и RAT-троян Netwire. Хакеры совершали боковое перемещение через 3 недели после первоначальной компрометации, используя командную строку и PsExec.
