尼日利亚黑客向上海某企业发送“木马发票”，现已入侵主机 450 台

5 月 28 日，威胁情报公司微步在线对雷锋网称，他们近日发现了一个长期利用窃密木马（AgentTesla等）对制造业、航运、能源以及部分政府部门发起定向攻击，通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗（BEC）攻击的黑客团伙“SWEED”。

不久前，一份伪装成某上海企业向新加坡公司发出的形式发票（Proforma Invoice）引起了微步在线安全研究员的注意，因为该文档利用了 OFFICE 漏洞 CVE-2017-11882，漏洞触发后会下载执行窃密木马“AgentTesla”。

AgentTesla 是一款近期非常流行的商业窃密木马，具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能，并可通过”web”、”smtp”和”ftp”等三种方式回传数据。

安全研究员追踪该木马后，发现幕后攻击团伙“SWEED”来自尼日利亚，自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马，攻击目标主要为从事对外贸易的中小型企业，涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析，发现“SWEED”至少成功入侵个人主机 450 台，受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。

“SWEED”团伙在控制企业员工主机后会进行长期监控，并在目标与客户发起交易时实施中间人攻击，诱使财务人员将款项转至指定账户，是一个典型的尼日利亚诈骗团伙。

安全研究人员建议，国内企业用户对所有包含附件的邮件提高警惕，涉及金融交易的细节需与对方核实确认，谨防此类欺诈攻击。

尼日利亚黑客向上海某企业发送“木马发票”，现已入侵主机 450 台 尼日利亚黑客向上海某企业发送“木马发票”，现已入侵主机 450 台 黑客事件

点击获取详细样本分析。