雷鋒網(wǎng)消息，5 月 28 日，威脅情報公司微步在線對雷鋒網(wǎng)稱，他們近日發(fā)現(xiàn)了一個長期利用竊密木馬（AgentTesla等）對制造業(yè)、航運、能源以及部分政府部門發(fā)起定向攻擊，通過竊取被攻擊目標(biāo)用戶和單位敏感信息進行 CEO 詐騙（BEC）攻擊的黑客團伙“SWEED”。

不久前，一份偽裝成某上海企業(yè)向新加坡公司發(fā)出的形式發(fā)票（Proforma Invoice）引起了微步在線安全研究員的注意，因為該文檔利用了 OFFICE 漏洞 CVE-2017-11882，漏洞觸發(fā)后會下載執(zhí)行竊密木馬“AgentTesla”。

AgentTesla 是一款近期非常流行的商業(yè)竊密木馬，具備屏幕截圖、鍵盤記錄、剪貼板內(nèi)容、控制攝像頭以及搜集主機賬號密碼等多種功能，并可通過"web"、"smtp"和"ftp"等三種方式回傳數(shù)據(jù)。

安全研究員追蹤該木馬后，發(fā)現(xiàn)幕后攻擊團伙“SWEED”來自尼日利亞，自 2107 年開始利用釣魚郵件傳播“AgentTesla”木馬，攻擊目標(biāo)主要為從事對外貿(mào)易的中小型企業(yè)，涉及制造業(yè)、航運、物流和運輸?shù)榷鄠€行業(yè)。他們對黑客服務(wù)器獲取的部分數(shù)據(jù)進行了分析，發(fā)現(xiàn)“SWEED”至少成功入侵個人主機 450 臺，受害者遍布美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近 50 個國家。

“SWEED”團伙在控制企業(yè)員工主機后會進行長期監(jiān)控，并在目標(biāo)與客戶發(fā)起交易時實施中間人攻擊，誘使財務(wù)人員將款項轉(zhuǎn)至指定賬戶，是一個典型的尼日利亞詐騙團伙。

安全研究人員建議，國內(nèi)企業(yè)用戶對所有包含附件的郵件提高警惕，涉及金融交易的細節(jié)需與對方核實確認，謹防此類欺詐攻擊。

點擊獲取詳細樣本分析。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。