Bluebottle, kelompok kejahatan dunia maya yang berspesialisasi dalam serangan bertarget terhadap sektor keuangan, terus meningkatkan serangan terhadap bank-bank di negara-negara berbahasa Prancis. Grup ini memanfaatkan hidup dari tanah secara ekstensif, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang diterapkan dalam kampanye ini.
Aktivitas yang diamati oleh Symantec, sebuah divisi dari Broadcom Software, tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan dalam laporan Grup-IB dari November 2022. Aktivitas yang didokumentasikan oleh Grup-IB berlangsung dari pertengahan 2019 hingga 2021, dan dikatakan bahwa selama periode itu kelompok ini, yang disebut OPERA1ER, mencuri setidaknya $11 juta selama 30 serangan yang ditargetkan.
Kemiripan dalam taktik, teknik, dan prosedur (TTP) antara aktivitas yang didokumentasikan oleh Group-IB dan aktivitas yang dilihat oleh Symantec meliputi:
- Domain yang sama terlihat di kedua rangkaian aktivitas: personel[.]bdm-sa[.]fr
- Beberapa alat yang digunakan sama: Ngrok; PsExec; RDPBungkus; Keylogger Pengungkap; Cobalt Strike Beacon
- Tidak ada malware khusus yang ditemukan di salah satu rangkaian aktivitas
- Crossover dalam penargetan negara-negara berbahasa Perancis di Afrika
- Kedua rangkaian aktivitas tersebut juga menampilkan penggunaan nama domain khusus industri dan khusus kawasan
Meskipun ini tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan oleh Group-IB, aktivitas yang dilihat oleh Symantec lebih baru, berjalan setidaknya dari Juli 2022 hingga September 2022, meskipun beberapa aktivitas mungkin telah dimulai sejak Mei 2022 .
Selengkapnya: Symantec
