全球顶尖黑客组织巡礼——Sweed组织的王牌特工“Agent Tesla”

作者:   深圳市网安计算机安全检测技术有限公司 2019/07/18 10:41:27 85次阅读 国际
文章来源:http://www.mottoin.com/detail/4128.html

        安全研究机构——思科Talos最近发现了大量正在进行的恶意软件分发活动,经过调查发现这些活动与此前名为“SWEED”的威胁组织相关联,其分发的恶意软件包括Formbook、Lokibot和Agent Tesla等。

Qs0lTQaqixg5k6whH3P3XmpNhDjHQTIcraxaNOb4.png

Sweed组织疑似来自尼日利亚

        根据此前的研究,Sweed组织至少自2017年以来一直在运营,其主要使用信息窃取工具(stealer)和远程访问木马来攻击目标对象。

        早在2018年5 月 28 日,研究人员曾发现了一个长期利用窃密工具对制造业、航运、能源、国防以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙,并将其命名为Sweed。

        他们发现了一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice),该文档利用了OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“Agent Tesla”。

B2GRa2VWujCHnLCqNFVV4CrIdVQZkOar0pDgaICU.png

        安全研究员追踪该木马后,发现幕后攻击团伙Sweed疑似来自尼日利亚,自 2017 年开始利用钓鱼邮件传播Agent Tesla木马。

        研究人员更进一步之处,该组织在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。

        思科Talos通过一步步溯源发现了与之相关的LinkedIn账户,其个人资料也显示所在地为尼日利亚:

tgcrUHs0j3rvZERNyQRVOBi2uAqCs5UzlDbK5J0z.png

王牌特工——“Agent Tesla”

kMVxvjtoTrdSQNIW6iz5r9SFgUxQQokyFaWWiUlT.png

        思科Talos研究员Edmund Brumaghin指出,Sweed的大部分恶意活动遵循一定的一致性,即它们通常使用带有恶意附件的鱼叉式网络钓鱼电子邮件。虽然这些活动中涉及数种不同类型的恶意软件,但似乎该组织更倾向于使用用“Agent Tesla(特斯拉特工)”——这是一种自2014年起就被Sweed当作“神兵利器”的一种信息窃取工具,用于感染受害者的设备。

        Agent Tesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过web、smtp和ftp等三种方式回传数据。值得注意的是,Sweded所使用的Agent Tesla版本与此前被观察到的版本略有不同,例如其打包方式、感染途径等。

        “基于其使用的TTP(策略、技术和程序),Sweed被认为是一个相对不那么“钻研技术”的威胁组织。 他们使用的通常是一些众所周知的漏洞、信息窃取工具和远程访问木马(如Pony、Formbook等),并且似乎依赖于黑客论坛上随时可用的工具包。 Sweed始终如一地利用打包和加密技术,以最大限度地减少反恶意软件解决方案的检测,”Edmund Brumaghin进一步解释道。

影响全球不同行业

        Sweed的攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输、能源、国防等多个行业。

fCdXqpVBomr5UollAhkYO5MXE5NDnmjM9ZC5FkzE.png

受影响行业分布

        研究人员对黑客服务器获取的部分数据进行了分析,发现Sweed至少成功入侵的主机遍布全球,包括美国、俄罗斯、中国、新加坡、南方、印度、巴基斯坦、沙特、韩国、伊朗等近50个国家。

RiHo0h0jTNrDPYQ2qmxPSuuzW3h9C49z3EUINDWd.png

受影响国家分布

参考资料:

https://threatpost.com/malware-agent-smith-android-ads/146359/

https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室