AgentTesla 2021年度資料竊取情況報告

1.1 背景情況

Agent Tesla 是一種目前最流行的遠端訪問木馬 (RAT)之一，它是高度可定製的，在許多駭客論壇、平臺上進行售賣，目前AgentTesl躋身威脅指數報告排行榜前三位。

AgentTesla最初於2014年在一個土耳其語網站上作為一個簡單的鍵盤記錄器進行出售，其後的時間來其開發團隊為其不斷進行更新迭代，隨著功能不斷增強，已經成為能夠盜取瀏覽器、FTP、VPN、郵箱和 WIFI 等多種敏感資訊的專業竊密軟體。

發展時間線

• 2014年 首次公開在官網進行售賣
• 2017年 採用 http 協議進行傳輸資料
• 2018年 開始採用 smtp 進行資料傳輸
• 2020年 新增獲取 WIFI 資訊功能，可竊取 WIFI 密碼等資訊

AgentTesla攻擊手法和竊密方式

圖：Agent Tesla相關ATT&CK表

1.2 事件情況

中睿天下安全團隊近期巡檢中出現大量使用AgentTesla的郵件惡意攻擊事件，網路犯罪分子借新聞事件誘騙毫無戒心的受害者點選受感染連結，手段十分狡猾詭詐。犯罪分子正專注於竊取使用者的個人和業務資料，以從中牟利。

我中心情報團隊對2021年目前已發現的21074個AgentTesla惡意軟體的樣本進行批次分析，獲取其中黑產郵箱進行測試篩選後，最終選擇定位了82個資料未被及時清除的郵箱進行爬取，其中存在一個全年未清理過郵件的黑產回傳郵箱，其中收取到的密碼數有52018條。

這82個郵箱中的密碼資料，經處理後最終獲取到無重複的密碼資料10萬條。除密碼資料外還存在部分從目標裝置拖走的cookie、資料庫檔案不做分析。

1.3 賬號分析

我中心對攻擊者竊取的使用者資料進行分析：

1.3.1 透過受害者的資料回傳IP，將收集到賬號進行國家分類

發現洩密IP分佈在48個國家地區，其中南非地區洩密情況最為嚴重，佔總體洩露的40%以上，具體分佈如下：

圖：受控使用者歸屬國家（Top10）

1.3.2 重點機構和特殊應用洩密情況

1.3.2.1 重點機構洩密情況：

重點機構洩密情況佔總洩密量的8.04%，其中政府洩露的資料最多，佔重點機構總體洩漏事件的60.6%。其它受影響的重點行業包括銀行（17.62%）、教育（19.92%）、軍事（0.14%）以及航空（1.72%）。

圖：重點機構洩密情況 - 重點分佈

1.3.2.2 特殊應用洩密情況：

我們對10萬條黑產組織竊取的賬號密碼所屬應用進行分析，大致分為郵箱賬號、社交平臺賬號和手機應用賬號，其中：

1.3.2.2.1 郵箱賬號

共計竊取郵箱賬號9504個，所屬不同郵件伺服器共計2069個

其中政府的郵箱密碼數7個、google（gamil）郵箱密碼數3373、outlook密碼數26個、163密碼數70個、Bangla.net密碼數893個、aruba密碼數767個、vodamail密碼數1587個,這幾個郵箱伺服器的在總密碼數中佔比70%以上，剩餘2062個郵箱密碼數2788個，佔比29.31%。

圖：郵箱賬號洩密情況

1.3.2.2.2 常見社交賬號洩露情況

透過對全球社交網站Top10的檢索發現： 洩露的facebook網站資料2991條、洩露的twitter網站資料585條、洩露的LinkedIn網站資料485條、洩露的Instagram網站資料309條、洩露的Pinterest網站資料117條。具體分佈如下：

圖：常用社交賬號洩密分佈

1.3.2.2.3 手機應用

共計竊取APP賬號密碼2563條，涉及223個APP，其中洩露最多的安卓密碼883條佔比34.45%和Facebook_APP密碼582條佔比22.71%，這兩個洩露的密碼數，佔安卓洩露密碼總數的57%。其他應用分佈如下

圖：手機應用洩密情況

1.3.3 賬號來源渠道

攻擊者獲取賬號資訊主要來源為 瀏覽器/郵箱；主要涉及到的應用有 Chrome（64.47%）/Firefox（14.36%）/Edge Chromium（12.05%）/Opera Browser（1.42%）/IE（0.78%）、 Outlook（2.48%）/Foxmail（1.05%） 、 Windows RDP（0.61%） ，具體分佈情況如下圖所示：

圖：攻擊者竊取密碼的來源應用分佈

1.3.4 國內使用者受控情況

國內被控、竊密的情況較少，其中發現的中馬IP一共22個，涉及8個省份，被控者最多的地區為浙江省為6個，雖然香港只有2個IP中馬，但共計回傳了63個賬號密碼。

圖：國內受害者分佈

1.3.5 其他情況

對資料進行分析時，在密碼資料中發現大量安卓相關URL，懷疑出現 Agent Tesla移動端竊密變種，在進行資料深入挖掘後，排除Agent Tesla安卓變種的可能性，資料來源於被控終端登入谷歌賬號從手機同步的資料一併被竊取。

圖：安卓相關應用密碼資料

圖：做資料回傳的原始郵件

1.4 危害分析

1.4.1 針對於個人受害者：

對主機名為DESKTOP-LK***IB的單體受害者進行分析：

發現其洩露資訊包括但不限於：google、outlook、skype、xiaomi、live、huawei、facebook、apple、twitter、某國海軍報名賬號、各招聘網站賬號、各學校申報賬號。

其中洩露的關鍵資訊有：姓名、照片、各種畢業證護照身*份證等證件資訊和證件照片、還有社交婚戀等網站洩露的一系列基礎資訊。如下圖：

攻擊者可以輕而易舉的使用這些資訊在網際網路上偽裝成該受害者進行下一步行為。

圖：某國海軍報名賬號

圖：招聘網站洩露個人照片、工作情況等資訊

圖：報考各大學的研究生時提交的證件資訊，都儲存在各大學的報考賬號裡

對其他單體受害者進行分析：

從受害者中發現有某國地區警察總署的賬號密碼洩露，其中包括在警署登記的護照、駕照、居住地、社會統一標識、宗教、學校、職業、住址、工作地址、手機、郵件等全部基礎資訊。

圖：某國地區警察總署

從受害者中發現有車輛繳費系統的賬戶，洩露了車輛註冊資訊、行程（收費站）：

圖：車輛繳費系統

從受害者中發現有快遞網站的賬戶，其中能獲得的資料有收貨地址、姓名、快遞的跟蹤資訊等：

圖：UPS快遞網站

1.4.2 針對的企業危害

當個人電腦失竊後，其中儲存的辦公資料、登入過的公司後臺相應的都會被黑產組織竊取利用，如：在密碼資料中抽取的，國外某公司專案管理網站：

網站中所包含的專案進度、公司情況、出勤情況和員工行程、員工資訊和照片、顧客資訊和聯絡方式，公司裝置詳細資訊等均可被駭客利用。

圖：客戶資訊

圖：專案情況

某受害者被竊密碼中，關於公司的管理系統管理員賬戶洩露導致該學校近千名學生的個人資訊-家庭資訊洩露：

圖：某學校後臺管理系統

從受害者中發現國內某大學的教職工賬戶，其中可洩露資訊包括個人經歷、家庭成員、公積金、科研成果論文等。

圖：某大學教職工OA

除教職工賬戶外還包括可登入的對公郵箱（非法攻擊者常利用被控的位於高可信域的郵箱進行釣魚，使得目標更容易相信欺騙內容，透過非法攻擊者此類操作後，國內各安全團隊透過情報共享後，會使得復旦大學郵件域名在網際網路上的可信度降低，嚴重情況下會在特定時間段內將該域名寫入黑名單）：

圖：某大學某對公郵箱

個人電腦遠端登入公司電腦或伺服器，密碼儲存後被黑產組織竊取，對方可以直接登入進入伺服器。

圖：Windows RDP密碼

除此之外，部分企業的郵箱放置在公網，員工電腦被控後，其裝置上登入企業郵箱一併失竊，包括其中內部交流中攜帶的密碼資訊、原始碼資料，和客戶郵件溝通時攜帶的客戶資訊等。

1.5 結語

透過對Agent Tesla的分析發現，犯罪分子正專注於竊取使用者的個人和業務資料，隨著資料交易的常態化，勒索軟體開發市場的規模化，資料衍生服務的體系化，在低成本高收益的誘惑下，個人、企業、政府的核心資料保護均面臨著巨大的風險。

網路安全與每個人息息相關，其重要性越來越凸顯，因此維護網路安全是全社會的共同責任。

1.5.1 防範建議

由於Agent Tesla主要透過郵件釣魚的方式攻擊，通常表現形式為1、郵件內的可執行檔案或壓縮包。2、跳轉的下載連結。

建議：

• 不要隨意下載非正版的應用軟體、非官方遊戲、序號產生器等。
• 工作中要及時進行系統更新和漏洞修復。
• 收郵件時要確認發件來源是否可靠，不要隨意點選或者複製郵件中的網址，不要輕易下載來源不明的附件。
• 發現網路異常要提高警惕並及時採取應對措施。