雷鋒網(wǎng)消息，5 月 28 日，威脅情報(bào)公司微步在線對雷鋒網(wǎng)稱，他們近日發(fā)現(xiàn)了一個(gè)長期利用竊密木馬（AgentTesla等）對制造業(yè)、航運(yùn)、能源以及部分政府部門發(fā)起定向攻擊，通過竊取被攻擊目標(biāo)用戶和單位敏感信息進(jìn)行 CEO 詐騙（BEC）攻擊的黑客團(tuán)伙“SWEED”。

不久前，一份偽裝成某上海企業(yè)向新加坡公司發(fā)出的形式發(fā)票（Proforma Invoice）引起了微步在線安全研究員的注意，因?yàn)樵撐臋n利用了 OFFICE 漏洞 CVE-2017-11882，漏洞觸發(fā)后會(huì)下載執(zhí)行竊密木馬“AgentTesla”。

AgentTesla 是一款近期非常流行的商業(yè)竊密木馬，具備屏幕截圖、鍵盤記錄、剪貼板內(nèi)容、控制攝像頭以及搜集主機(jī)賬號密碼等多種功能，并可通過"web"、"smtp"和"ftp"等三種方式回傳數(shù)據(jù)。

安全研究員追蹤該木馬后，發(fā)現(xiàn)幕后攻擊團(tuán)伙“SWEED”來自尼日利亞，自 2107 年開始利用釣魚郵件傳播“AgentTesla”木馬，攻擊目標(biāo)主要為從事對外貿(mào)易的中小型企業(yè)，涉及制造業(yè)、航運(yùn)、物流和運(yùn)輸?shù)榷鄠€(gè)行業(yè)。他們對黑客服務(wù)器獲取的部分?jǐn)?shù)據(jù)進(jìn)行了分析，發(fā)現(xiàn)“SWEED”至少成功入侵個(gè)人主機(jī) 450 臺，受害者遍布美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近 50 個(gè)國家。

“SWEED”團(tuán)伙在控制企業(yè)員工主機(jī)后會(huì)進(jìn)行長期監(jiān)控，并在目標(biāo)與客戶發(fā)起交易時(shí)實(shí)施中間人攻擊，誘使財(cái)務(wù)人員將款項(xiàng)轉(zhuǎn)至指定賬戶，是一個(gè)典型的尼日利亞詐騙團(tuán)伙。

安全研究人員建議，國內(nèi)企業(yè)用戶對所有包含附件的郵件提高警惕，涉及金融交易的細(xì)節(jié)需與對方核實(shí)確認(rèn)，謹(jǐn)防此類欺詐攻擊。

點(diǎn)擊獲取詳細(xì)樣本分析。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。