Исследователи из Symantec обнаружили , что деятельность группировки Bluebottle совпадает с TTPs группы OPERA1ER.
По словам аналитиков, участники Bluebottle использовали подписанный драйвер Windows в атаках на банки во франкоязычных странах. Примечательно, что группа OPERA1ER состоит из франкоговорящих хакеров и базируется в Африке, атакуя местные организации, а также компании в Аргентине, Парагвае и Бангладеш. По словам Symantec, действия и цели хакеров из обеих групп совпадают.
Исследователи выяснили, что обе группировки использовали инструмент GuLoader для загрузки вредоносных программ и подписанного драйвера, а также отключения средств защиты в сети жертвы.
GuLoader состоит из двух компонентов:
Обнаруженный образец подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у киберпреступников связей с провайдерами, которые могут предоставлять законные подписи от доверенных лиц. Кроме того, хакеры использовали ISO-образы в качестве начального вектора заражения в ходе целевой фишинговой кампании.
Исследователи Symantec проанализировали атаки Bluebottle на 3 финансовых учреждения в африканских странах. В одном из них злоумышленники использовали несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, Ngrok, Net localgroup, Netsh и др.)
Также Bluebottle использовали вредоносные программы GuLoader, Mimikatz, Reveal Keylogger и RAT-троян Netwire. Хакеры совершали боковое перемещение через 3 недели после первоначальной компрометации, используя командную строку и PsExec.