欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

全球顶尖黑客组织巡礼——Sweed组织的王牌特工“Agent Tesla”

 

安全研究机构——思科Talos最近发现了大量正在进行的恶意软件分发活动,经过调查发现这些活动与此前名为“SWEED”的威胁组织相关联,其分发的恶意软件包括Formbook、Lokibot和Agent Tesla等。



Sweed组织疑似来自尼日利亚


根据此前的研究,Sweed组织至少自2017年以来一直在运营,其主要使用信息窃取工具(stealer)和远程访问木马来攻击目标对象。


早在2018年5 月 28 日,研究人员曾发现了一个长期利用窃密工具对制造业、航运、能源、国防以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙,并将其命名为Sweed。


他们发现了一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice),该文档利用了OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“Agent Tesla”。



安全研究员追踪该木马后,发现幕后攻击团伙Sweed疑似来自尼日利亚,自 2017 年开始利用钓鱼邮件传播Agent Tesla木马。


研究人员更进一步之处,该组织在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。


思科Talos通过一步步溯源发现了与之相关的LinkedIn账户,其个人资料也显示所在地为尼日利亚:



王牌特工——“Agent Tesla”



思科Talos研究员Edmund Brumaghin指出,Sweed的大部分恶意活动遵循一定的一致性,即它们通常使用带有恶意附件的鱼叉式网络钓鱼电子邮件。虽然这些活动中涉及数种不同类型的恶意软件,但似乎该组织更倾向于使用用“Agent Tesla(特斯拉特工)”——这是一种自2014年起就被Sweed当作“神兵利器”的一种信息窃取工具,用于感染受害者的设备。


Agent Tesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过web、smtp和ftp等三种方式回传数据。值得注意的是,Sweded所使用的Agent Tesla版本与此前被观察到的版本略有不同,例如其打包方式、感染途径等。


“基于其使用的TTP(策略、技术和程序),Sweed被认为是一个相对不那么“钻研技术”的威胁组织。 他们使用的通常是一些众所周知的漏洞、信息窃取工具和远程访问木马(如Pony、Formbook等),并且似乎依赖于黑客论坛上随时可用的工具包。 Sweed始终如一地利用打包和加密技术,以最大限度地减少反恶意软件解决方案的检测,”Edmund Brumaghin进一步解释道。


影响全球不同行业


Sweed的攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输、能源、国防等多个行业。


受影响行业分布


研究人员对黑客服务器获取的部分数据进行了分析,发现Sweed至少成功入侵的主机遍布全球,包括美国、俄罗斯、中国、新加坡、南方、印度、巴基斯坦、沙特、韩国、伊朗等近50个国家。


受影响国家分布


参考资料:


https://threatpost.com/malware-agent-smith-android-ads/146359/

https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html

9999.jpg


暂无

您可能还会对下面的文章感兴趣: