全球顶尖黑客组织巡礼——Sweed组织的王牌特工“Agent Tesla”

稿源：MottoIN 2019-07-17 21:40:15

安全研究机构——思科Talos最近发现了大量正在进行的恶意软件分发活动，经过调查发现这些活动与此前名为“SWEED”的威胁组织相关联，其分发的恶意软件包括Formbook、Lokibot和Agent Tesla等。

Sweed组织疑似来自尼日利亚

根据此前的研究，Sweed组织至少自2017年以来一直在运营，其主要使用信息窃取工具（stealer）和远程访问木马来攻击目标对象。

早在2018年5 月 28 日，研究人员曾发现了一个长期利用窃密工具对制造业、航运、能源、国防以及部分政府部门发起定向攻击，通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗（BEC）攻击的黑客团伙，并将其命名为Sweed。

他们发现了一份伪装成某上海企业向新加坡公司发出的形式发票（Proforma Invoice），该文档利用了OFFICE 漏洞 CVE-2017-11882，漏洞触发后会下载执行窃密木马“Agent Tesla”。

安全研究员追踪该木马后，发现幕后攻击团伙Sweed疑似来自尼日利亚，自 2017 年开始利用钓鱼邮件传播Agent Tesla木马。

研究人员更进一步之处，该组织在控制企业员工主机后会进行长期监控，并在目标与客户发起交易时实施中间人攻击，诱使财务人员将款项转至指定账户，是一个典型的尼日利亚诈骗团伙。

思科Talos通过一步步溯源发现了与之相关的LinkedIn账户，其个人资料也显示所在地为尼日利亚：

王牌特工——“Agent Tesla”

思科Talos研究员Edmund Brumaghin指出，Sweed的大部分恶意活动遵循一定的一致性，即它们通常使用带有恶意附件的鱼叉式网络钓鱼电子邮件。虽然这些活动中涉及数种不同类型的恶意软件，但似乎该组织更倾向于使用用“Agent Tesla（特斯拉特工）”——这是一种自2014年起就被Sweed当作“神兵利器”的一种信息窃取工具，用于感染受害者的设备。

Agent Tesla 是一款近期非常流行的商业窃密木马，具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能，并可通过web、smtp和ftp等三种方式回传数据。值得注意的是，Sweded所使用的Agent Tesla版本与此前被观察到的版本略有不同，例如其打包方式、感染途径等。

“基于其使用的TTP（策略、技术和程序），Sweed被认为是一个相对不那么“钻研技术”的威胁组织。他们使用的通常是一些众所周知的漏洞、信息窃取工具和远程访问木马（如Pony、Formbook等），并且似乎依赖于黑客论坛上随时可用的工具包。 Sweed始终如一地利用打包和加密技术，以最大限度地减少反恶意软件解决方案的检测，”Edmund Brumaghin进一步解释道。