0
| 本文作者: 李勤 | 2018-05-28 14:30 |
雷鋒網消息,5 月 28 日,威脅情報公司微步在線對雷鋒網稱,他們近日發現了一個長期利用竊密木馬(AgentTesla等)對制造業、航運、能源以及部分政府部門發起定向攻擊,通過竊取被攻擊目標用戶和單位敏感信息進行 CEO 詐騙(BEC)攻擊的黑客團伙“SWEED”。
不久前,一份偽裝成某上海企業向新加坡公司發出的形式發票(Proforma Invoice)引起了微步在線安全研究員的注意,因為該文檔利用了 OFFICE 漏洞 CVE-2017-11882,漏洞觸發后會下載執行竊密木馬“AgentTesla”。
AgentTesla 是一款近期非常流行的商業竊密木馬,具備屏幕截圖、鍵盤記錄、剪貼板內容、控制攝像頭以及搜集主機賬號密碼等多種功能,并可通過"web"、"smtp"和"ftp"等三種方式回傳數據。
安全研究員追蹤該木馬后,發現幕后攻擊團伙“SWEED”來自尼日利亞,自 2107 年開始利用釣魚郵件傳播“AgentTesla”木馬,攻擊目標主要為從事對外貿易的中小型企業,涉及制造業、航運、物流和運輸等多個行業。他們對黑客服務器獲取的部分數據進行了分析,發現“SWEED”至少成功入侵個人主機 450 臺,受害者遍布美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近 50 個國家。
“SWEED”團伙在控制企業員工主機后會進行長期監控,并在目標與客戶發起交易時實施中間人攻擊,誘使財務人員將款項轉至指定賬戶,是一個典型的尼日利亞詐騙團伙。
安全研究人員建議,國內企業用戶對所有包含附件的郵件提高警惕,涉及金融交易的細節需與對方核實確認,謹防此類欺詐攻擊。
點擊獲取詳細樣本分析。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
