Исследователи из Symantec сообщают подробности о деятельности киберпреступной группы, которую они отслеживают как Bluebottle, выявляя значительное сходство с TTP банды OPERA1ER. Как выяснили ресерчеры, хакеры Bluebottle использовали подписанный драйвер Windows для атак на банки во франкоязычных странах. При этом действия и цели соответствуют профилю OPERA1ER, которым было приписано не менее 35 успешных атак в период с 2018 по 2020 год. Еще в начале ноября 2022 года Group-IB представила обширный отчет по результатам анализа задокументированных кампании OPERA1ER, в котором исследователи отметили отсутствие специализированных вредоносных ПО и широкое использование доступных инструментов. Считается, что группа включает франкоговорящих членов и действует с территории Африки, нацеливаясь на организации в регионе, нанося также удары по компаниям в Аргентине, Парагвае и Бангладеш. Результаты работы Symantec позволили пролить свет на некоторые технические детали, в том числе использование инструмента GuLoader для загрузки вредоносных программ и подписанного драйвера, нейтрализацию средств защиты в сети жертвы. Исследователи отмечают, что вредоносное ПО состояло из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного «вспомогательного» драйвера, управляемого первым драйвером и используемого для завершения процессов в списке. При этом, как полагают в Symantec, подписанный вредоносный драйвер использовался несколькими группами киберпреступников для отключения защиты, о чем в декабре сообщали Microsoft, Mandiant, Sophos и SentinelOne. Образец, обнаруженный исследователями Symantec, хотя и является одним и тем же драйвером, но был подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у акторов выходов на провайдеров, которые могут предоставлять законные подписи от доверенных лиц. Исследователи отмечают, что этот же драйвер использовался в рамках атаки с использованием ransomware на некоммерческую организацию в Канаде. Symantec сообщает, что активность Bluebottle, которую они наблюдали, началась в июле 2022 года и продолжалась до сентября, но могла фиксироваться и в мае. Недавние атаки также показывают некоторые новые TTP, которые включают использование GuLoader на начальных этапах атаки. Кроме того, исследователи обнаружили признаки того, что злоумышленник использовал образы дисков ISO в качестве начального вектора заражения в целевом фишинге на тему работы. Исследователи Symantec проанализировали атаки Bluebottle на три различных финансовых учреждения в африканских странах. В одном из них злоумышленник полагался на несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, ping, Ngrok, Net localgroup, VPN-клиент Fortinet, Xcopy, Netsh, Autoupdatebat 'Automatic RDP Wrapper installer and updater' и привилегии SC для изменения разрешений агента SSH). Также Bluebottle использовали вредоносные инструменты: GuLoader, Mimikatz, Reveal Keylogger и троян удаленного доступа Netwire. Злоумышленник приступал к ручному боковому перемещению примерно через три недели после первоначальной компрометации, используя командную строку и PsExec. Хотя анализ атак и используемых инструментов позволяет предположить, что OPERA1ER и Bluebottle представляют собой одну и ту же группу, однако Symantec не подтверждает отмеченные Group-IB масштабы монетизации.