尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。

不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。

AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。

安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。

“SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。

安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。

点击获取详细样本分析

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-23银企对账-供应商付款-承兑汇票-FF67收到银行对账单

4.7.3 FF67收到银行对账单 到期解付,收到银行对账单:付款凭证 借:银行结算(中间科目)10020152 贷:银行现金10020150 进一步清帐 ...

3516
来自专栏安恒信息

又一家企业被“勒索”遭殃,企业数据安全路在何方

2018年7月8日18:02,安恒信息应急响应中心接到某企业电话求救——公司自动化企业资源管理ERP系统被恶意加密,并提示支付比特币才能解密。该ERP系统中的数...

1314
来自专栏区块链

“网络祸害”罄竹难书

今年上半年,WannaCry病毒将勒索病毒这个种类推上了“毒王的宝座”,成为2017公认全球影响力第一的病毒,下半年下半年比特币价格疯涨,突破2万美元一枚,让挖...

22010
来自专栏FreeBuf

解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

2159
来自专栏知晓程序

买买买星人必备!这 4 款小程序,帮你轻松查快递

在网上下单后,虽然商品无法马上送到自己手上,但我们可以随时查看包裹距离自己还有多远,缓解期待和焦虑的情绪。

973
来自专栏域名资讯

陆金所估值200亿 启用千万域名

IFR消息,陆金所计划2018年上半年在香港首次公开募股,融资规模30-50亿美元。陆金所的域名用的是极品单拼lu.com,传闻价值不低于8位数。据悉,早年陆金...

1130
来自专栏安恒信息

以“Darkhotel”为首的黑客团队利用旅馆WiFi窃取高管隐私数据

想必很多企业高管都喜欢选择有WiFi网络的旅馆居住,让移动设备处于联网状态以便于应对各 种事情。在过去四年间黑客利用旅馆的WiFi网络入侵高管电脑窃取私密数据的...

3449
来自专栏云鼎实验室的专栏

“暗黑流量”超大规模DDoS溯源分析

近日,腾讯云鼎实验室的合作伙伴Panabit于2017年5月26日19点开始,监测到一次大面积网络攻击活动,经过溯源分析,我们发现与暗云Ⅳ相关。

1.2K0
来自专栏域名资讯

Sedo榜:域名happymath.com以3.5万美金交易居榜首

在最新一期的Sedo榜中,英文域名happymath.com以3.5万美金,约22.5万元的价格位居榜首。

2148
来自专栏FreeBuf

浅谈八大顶尖网银恶意软件

Cyphort分析了黑客使用的八个破坏银行和电子支付的恶意软件,这些恶意金融软件侵害和威胁了数以百万计的用户。 八大金融恶意软件 1、Zeus: 自2007年问...

2115

扫码关注云+社区

领取腾讯云代金券