奈及利亞黑客偽裝成上海某企業傳送“木馬發票”

5 月 28 日，威脅情報公司近日發現了一個長期利用竊密木馬（AgentTesla等）對製造業、航運、能源以及部分政府部門發起定向攻擊，通過竊取被攻擊目標使用者和單位敏感資訊進行 CEO 詐騙（BEC）攻擊的黑客團伙“SWEED”。

不久前，一份偽裝成某上海企業向新加坡公司發出的形式發票（Proforma Invoice）引起了安全研究員的注意，因為該文件利用了 OFFICE 漏洞 CVE-2017-11882，漏洞觸發後會下載執行竊密木馬“AgentTesla”。

AgentTesla 是一款近期非常流行的商業竊密木馬，具備螢幕截圖、鍵盤記錄、剪貼簿內容、控制攝像頭以及蒐集主機賬號密碼等多種功能，並可通過"web"、"smtp"和"ftp"等三種方式回傳資料。

安全研究員追蹤該木馬後，發現幕後攻擊團伙“SWEED”來自奈及利亞，自 2107 年開始利用釣魚郵件傳播“AgentTesla”木馬，攻擊目標主要為從事對外貿易的中小型企業，涉及製造業、航運、物流和運輸等多個行業。他們對黑客伺服器獲取的部分資料進行了分析，發現“SWEED”至少成功入侵個人主機 450 臺，受害者遍佈美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近 50 個國家。

“SWEED”團伙在控制企業員工主機後會進行長期監控，並在目標與客戶發起交易時實施中間人攻擊，誘使財務人員將款項轉至指定賬戶，是一個典型的奈及利亞詐騙團伙。

安全研究人員建議，國內企業使用者對所有包含附件的郵件提高警惕，涉及金融交易的細節需與對方核實確認，謹防此類欺詐攻擊。

來源：雷鋒網