5 月 28 日,威脅情報公司近日發現了一個長期利用竊密木馬(AgentTesla等)對製造業、航運、能源以及部分政府部門發起定向攻擊,通過竊取被攻擊目標使用者和單位敏感資訊進行 CEO 詐騙(BEC)攻擊的黑客團伙“SWEED”。
不久前,一份偽裝成某上海企業向新加坡公司發出的形式發票(Proforma Invoice)引起了安全研究員的注意,因為該文件利用了 OFFICE 漏洞 CVE-2017-11882,漏洞觸發後會下載執行竊密木馬“AgentTesla”。
AgentTesla 是一款近期非常流行的商業竊密木馬,具備螢幕截圖、鍵盤記錄、剪貼簿內容、控制攝像頭以及蒐集主機賬號密碼等多種功能,並可通過"web"、"smtp"和"ftp"等三種方式回傳資料。
安全研究員追蹤該木馬後,發現幕後攻擊團伙“SWEED”來自奈及利亞,自
2107
年開始利用釣魚郵件傳播“AgentTesla”木馬,攻擊目標主要為從事對外貿易的中小型企業,涉及製造業、航運、物流和運輸等多個行業。他們對黑客伺服器獲取的部分資料進行了分析,發現“SWEED”至少成功入侵個人主機
450 臺,受害者遍佈美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近 50 個國家。
“SWEED”團伙在控制企業員工主機後會進行長期監控,並在目標與客戶發起交易時實施中間人攻擊,誘使財務人員將款項轉至指定賬戶,是一個典型的奈及利亞詐騙團伙。
安全研究人員建議,國內企業使用者對所有包含附件的郵件提高警惕,涉及金融交易的細節需與對方核實確認,謹防此類欺詐攻擊。
來源:雷鋒網