您的位置
主页 > 站长博客 » 正文

尼日利亚黑客伪装成上海某企业发送“木马发票”,现已入侵主机 450 台

来源:www.jz265.com 点击:1990

雷锋网(公众号:雷锋)消息,5月28日,威胁情报公司微网在线对雷锋说。他们最近发现了长期使用窃取特洛伊木马(AgentTesla等)的制造,运输,能源和一些政府。该部门发起了一次有针对性的攻击,通过攻击目标用户和单位敏感信息来窃取黑客团伙“SWEED”的CEO欺诈(BEC)攻击。

不久前,一家上海公司向一家新加坡公司发行的形式发票引起了微步在线安全研究人员的注意,因为该文件利用了OFFICE漏洞CVE-2017-11882,该漏洞在漏洞被触发后下载并执行。窃取木马“AgentTesla”。

AgentTesla是最近流行的商业窃取木马,具有屏幕截图,键盘记录程序,剪贴板内容,控制摄像头和主机帐户密码集合,可以通过“web”,“smtp”和“ftp”使用。有三种方法可以返回数据。

在跟踪特洛伊木马后,安全研究人员发现幕后攻击团伙“SWEED”来自尼日利亚。自2107年以来,网络钓鱼邮件已被用于传播“AgentTesla”特洛伊木马。目标主要是从事对外贸易的中小企业,涉及制造业,航运业,物流业和交通运输等行业。他们分析了黑客服务器获得的一些数据,发现“SWEED”成功入侵至少450个个人主机,受害者分布在近50个国家,包括美国,俄罗斯,中国,印度,巴基斯坦,沙特阿拉伯,韩国和伊朗。

“SWEED”团伙将在控制企业员工主持人后进行长期监控,并在目标发起与客户的交易时实施中间人攻击,诱使财务人员将资金转移到指定的帐户。这是一个典型的尼日利亚诈骗团伙。

安全研究人员建议国内企业用户对包含附件的所有电子邮件保持警惕,并且需要与另一方核实金融交易的详细信息,以防止此类欺诈性攻击。