专栏首页黑白安全尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。

不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。

AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。

安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。

“SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。

安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。

点击获取详细样本分析

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 谁家的黑客,对我们的核机密这么感兴趣?

    暗网、黑客、国际网络间谍、网络战……这些词汇本该离吃瓜群众很遥远,却又有种莫名的吸引力。

    周俊辉
  • PHP安全编码规范之安全配置篇

    因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可...

    周俊辉
  • 微软宣布进行年度 Hackathon 私人黑客竞赛 并发表新书

    微软今天开始推出One Week Hackathon,这是全球最大的私人黑客竞赛,参赛的微软员工将尝试寻找解决世界上一些最具挑战性问题的新想法。参与者将获得一本...

    周俊辉
  • 专家谈人工智能可能带来的安全威胁

    英国网络安全公司Darktrace的技术总监Dave Palmer在接受“Business Insider”杂志采访时谈到了人工智能可能带来的安全威胁,包括: ...

    人工智能快报
  • Android-Jetpack笔记-ViewModel

    ViewModel处于数据逻辑层,他的生命周期贯穿整个宿主,如act因屏幕旋转销毁重建时,其依然存活,只有act.finish后,才会自动销毁,因此可以用他来维...

    Holiday
  • 【带着canvas去流浪】 (3)绘制饼图

    使用原生canvasAPI绘制饼图(南丁格尔玫瑰)。(截图以及数据来自于百度Echarts官方示例库【查看示例链接】)。

    大史不说话
  • 从酒桌游戏看二分查找算法

    酒桌上曾经玩过这样一个小游戏,游戏规则是:主持人每次随机从 1-1000 中选择一个数字,比如是 171。只有主持人自己知道并事先写在纸条上留存,然后分别让大家...

    童欧巴
  • 社会工程学

    社交工程是用于通过人类交互完成的广泛恶意活动的术语。它使用心理操纵来诱骗用户犯下安全错误或泄露敏感信息。

    周俊辉
  • 极简,利用Docker仅两行命令就能下载和编译OpenJDK11

    可见除了自己修改OpenJDK源码这一步因人而异无法省略,其余步骤已经被大大简化,接下来就一起体验一下吧;

    程序员欣宸
  • 腾讯云乐固获“最佳贡献企业”奖 助力应用安全发展

    11月16日,首届安卓绿色联盟开发者大会在北京举办。来自腾讯、华为、阿里巴巴、百度等国内各大知名企业的20多位技术大咖,围绕高效应用开发、应用创新体验、自动化...

    腾讯云安全

扫码关注云+社区

领取腾讯云代金券