揭秘奈及利亞團伙SWEED用木馬詐騙：偽裝成上海公司，誘財務打款

TAG: SWEED團伙、AgentTesla、釣魚郵件、漏洞利用、奈及利亞、中間人攻擊、對外貿易

TLP:白

日期：2018-05-16

01

概要

基於微步在線的黑客畫像系統和狩獵系統，微步在線保持對上百個包括國家背景的高級APT團伙和黑產類團伙的實時監控和分析。近日，我們利用上述系統發現了一個長期利用竊密木馬（AgentTesla等）對製造業、航運、能源以及部分政府部門發起定向攻擊，通過竊取被攻擊目標用戶和單位敏感信息進行CEO詐騙（BEC）攻擊的黑客團伙。鑒於該團伙常常使用「SWEED」作為相關信息的昵稱，我們將其命名為「SWEED」。關於該團伙的主要發現包括：

· 近日微步在線捕獲了一份偽裝成某上海企業向新加坡公司發出的形式發票（Proforma Invoice），該文檔利用了OFFICE漏洞CVE-2017-11882，漏洞觸發後會下載執行竊密木馬「AgentTesla」。

· AgentTesla是一款近期非常流行的商業竊密木馬，具備屏幕截圖、鍵盤記錄、剪貼板內容、控制攝像頭以及搜集主機賬號密碼等多種功能，並可通過"web"、"smtp"和"ftp"等三種方式回傳數據。

· 追蹤發現幕後攻擊團伙「SWEED」來自奈及利亞，自2107年開始利用釣魚郵件傳播「AgentTesla」木馬，攻擊目標主要為從事對外貿易的中小型企業，涉及製造業、航運、物流和運輸等多個行業。

· 從黑客伺服器獲取的部分數據分析發現，「SWEED」至少成功入侵個人主機450台，受害者遍布美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近50個國家。

· 「SWEED」團伙在控制企業員工主機後會進行長期監控，並在目標與客戶發起交易時實施中間人攻擊，誘使財務人員將款項轉至指定賬戶，是一個典型的奈及利亞詐騙團伙。

· 建議國內企業用戶對所有包含附件的郵件提高警惕，涉及金融交易的細節需與對方核實確認，謹防此類欺詐攻擊。

近距離聽溯源

聽微步在線首席分析官講解真實案例

02

詳情

近日，微步在線捕獲了一份名為「SETTLEMENT OF OUTSTANDING.xlsx」的EXCEL文檔，內容顯示為上海某有限公司向新加坡EAST ERA FLUID公司發送的形式發票，如下圖所示。

因圖片中公司真實存在，故對圖片進行打碼

保護同是受害者的公司隱私

分析發現該文件利用了OFFICE漏洞CVE-2017-11882，漏洞觸發後會從遠程伺服器（candqre.com）下載執行名為「kc.exe」的後門程序，進而實現對目標主機數據的秘密竊取。

03

典型樣本分析

對誘餌文檔下載的「kc.exe」分析發現，該程序實為加了"BobSoft Mini Delphi -> BoB / BobSoft」殼的商業竊密木馬Agent Tesla。AgentTesla最早出現於2014年，是一款公開出售的遠控木馬，其早期版本只有鍵盤記錄的功能，經過多年更新升級，目前版本已經具備桌面截圖、記錄鍵盤、竊取剪貼板數據、攝像頭拍照，以及竊取主流瀏覽器、應用中用戶名、密碼等敏感數據等豐富功能。

對Kc.exe的詳細分析如下：

1、kc.exe加了"BobSoft Mini Delphi -> BoB / BobSoft殼，具有反虛擬機、反監控工具以及對抗分析等功能。比如該程序會通過檢測運行期間滑鼠是否移動來判斷是否在虛擬機等監控環境，通過判斷進程名來對抗虛擬機、監控工具等。檢測通過後，樣本從內存解密出來新的PE程序並重啟自身為傀儡進程注入執行。

2、該PE程序經過多次解密後，真正執行內容為c#編寫的竊密程序Agent Tesla。

3、Agent Tesla內部的關鍵字元串都是被加密過的，加密演算法如下。

4、該樣本主要以竊取瀏覽器保存的賬號密碼、FTP賬號密碼和證書為主，涵蓋軟體包括Chrome、Opera、Yandex、Firefox、IE、SeaMonkey、Comodo、Chromium、DynDNS、Filezilla、FlashFXP、Outlook等。

5、樣本還具備屏幕截圖、記錄鍵盤、竊取剪貼板、攝像頭拍照以及拷貝自身到移動設備來傳播等功能，代碼如下圖所示：

截屏

截取賬戶名密碼

感染移動設備

6、Agent Tesla可過"webpanel"、"smtp"和"ftp"三種方式回傳竊取數據，該樣本配置為通過SMTP方式，使用的郵箱解密後顯示為kc@crosspolimeri-com.ga。

04

關聯分析

關聯發現，該郵箱自2017年4月以來共註冊域名14個，這些域名主要使用使用「l」代替「i」、「rn」代替「m」等方式對全球多個國家的合法企業官方網站進行仿冒，詳細列表如下所示：

排查發現，上述域名均在俄羅斯虛擬主機服務商Hostland.ru註冊，當前IP都指向185.26.122.68，而該IP地址上同時其他大量無關域名，判斷為Hostland.ru提供的虛擬主機，主要被攻擊者用於存放AgentTesla木馬，除kc.exe外，candqre.com域名下還存在chucks.exe、olamide.exe、boss.exe、goodman.exe、sweed.exe等一批相似樣本。

對提取樣本分析發現，所有樣本均為配置成SMTP方式竊密的AgentTesla木馬，但使用的郵箱各不相同。對木馬內嵌的部分郵箱取證分析發現，自2017年11月以來，這批郵箱共發送郵件10萬餘封，分別來自於450餘台被控主機，受害者遍布美國、俄羅斯、中國、印度、巴基斯坦、沙特、韓國、伊朗等近50個國家（包括上文關聯出黑客註冊仿冒域名多家公司），涉及製造業、航運、物流和運輸等多個行業。

05

攻擊手法揭秘

有趣的是，部分黑客（常用昵稱為SWEED）在進行木馬測試時未及時清除，其早期「工作」內容也被木馬截屏發送至相關郵箱，通過截圖我們對「SWEED」團伙實施攻擊的主要流程總結如下：

1、購買了「鉑金版」AgentTesla木馬（有效期1年），並頻繁在官方交流頻道討論使用心得。

2、利用AgentTesla生成器製作木馬，並用KazyCypter工具進行加密。

3、通過HOSTLAND虛擬主機部署木馬樣本。

4、收集目標用戶信息。

5、對收集到的郵箱批量發送釣魚郵件。

6、利用AgentTesla木馬獲取受害者用戶賬號密碼。

7、通過Skype與其他同夥共享信息。

8、偽造目標用戶域名。

9、長期監控目標郵件內容，並適時利用偽造郵箱向發送正常郵件以取得信任。

10、準備用於收款的銀行賬號。

11、在雙方交易過程中發起欺詐攻擊，誘導目標將項目款項轉至其他賬號。

06

團伙畫像

統計發現，「SWEED」團伙常用IP地址（超過90%）、手機號碼均為奈及利亞，且多個FaceBook賬號的屬地也為該國，基本可以斷定該團伙來自於奈及利亞。

「SWEED」團伙畫像如下：

07

附錄

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！