全球网络安全领域领导者比特梵德(BitDefender)的研究人员最近监测到了一波网络钓鱼活动,攻击者先是冒充了一家知名的埃及石油公司,而后又试图伪装成航运公司,旨在使用众所周知的Agent Tesla间谍木马感染受害者。
具体来讲,冒充埃及Enppi石油公司的钓鱼活动发生在上个月,主要针对的是马来西亚、美国、伊朗、南非、阿曼和土耳其等国家的能源行业。伪装成航运公司的钓鱼活动开始于4月12日,截止到目前仅有少数几家菲律宾航运公司收到了包含化学品邮轮货船行业术语的钓鱼电子邮件。
精心制作的“鱼叉”
如上所述,活动早期的钓鱼电子邮件声称来自埃及Enppi石油公司,邀请收件人代表Burullus天然气公司提交有关罗塞塔公共设施项目的投标材料。
电子邮件看上去极为逼真,因为它不仅有提交投标的截止日期,甚至还要求提供投标保证金,但附件中的文档被证实携带了Agent Tesla间谍木马。
更为关键的是,罗塞塔公共设施项目的确是真实存在的,且确实涉及到Enppi和Burullus这两家公司。因此,对于了解这个项目的石油和天然气行业业内内人士而言,电子邮件所包含的信息足以说服他们打开附件。
基于比特梵德的遥测技术,类似的电子邮件在马来西亚、美国、伊朗、南非、阿曼和土耳其均有出现,而这些都是在石油和天然气行业中发挥重要作用的国家(例如,美国和伊朗就是全球最大的石油生产国之一)。
包含化学品邮轮货船行业术语的新“鱼叉”
在4月12日发送的钓鱼电子邮件通知收件人需要发送“MT.Sinar Maluku”号货船的预估港口使费(Estimated Port Disbursement Account,EPDA)以及有关集装箱数量的信息。
调查显示,的确有这么一艘登记于印度尼西亚的货船已于4月12日离港,预计将于4月14日抵达目的地。这表明,新的网络钓鱼活动同样具有高度的针对性。
Agent Tesla间谍木马威力如何?
相关资料显示,Agent Tesla间谍木马自2014年以来一直存在,且从未停止过改进和更新。更为关键的是,它是以“恶意软件即服务(Malware-as-a-Service,MaaS)”的形式存在,只需支付一笔费用就可以购买到。
Agent Tesla不仅能够从受感染系统以及各种已安装的软件中提取凭证、复制剪贴板数据、执行屏幕截图、表单抓取和按键记录,而且还被赋予了能够隐秘执行、长久驻留以及逃避安全检测的能力,可以说是一款全能的间谍木马。
结语
如果你有每天看新闻的习惯,那么你就应该知道,新型冠状病毒疫情爆发对全球石油需求的冲击远超预期。近几周以来,石油和天然气行业承受着巨大的压力,每桶石油价格下降了一半以上,跌至2002年以来的最低水平。
而网络犯罪分子通常很会投机取巧,他们往往会借助社会热点来进行鱼叉式活动。因此,我们会在最近看到针对石油和天然气行业的网络攻击活动开始爆发也就不足为奇了。
比特梵德表示,尽管此次攻击者使用的恶意软件有效载荷本身并不像更高级和针对性攻击中所使用的自定义恶意软件那样复杂,但这些活动的确也经过了精心策划,值得我们留意并防范。
