全球網絡安全領域領導者比特梵德(BitDefender)的研究人員最近監測到了一波網絡釣魚活動,攻擊者先是冒充了一家知名的埃及石油公司,而後又試圖偽裝成航運公司,旨在使用眾所周知的Agent Tesla間諜木馬感染受害者。
具體來講,冒充埃及Enppi石油公司的釣魚活動發生在上個月,主要針對的是馬來西亞、美國、伊朗、南非、阿曼和土耳其等國家的能源行業。偽裝成航運公司的釣魚活動開始於4月12日,截止到目前僅有少數幾家菲律賓航運公司收到了包含化學品郵輪貨船行業術語的釣魚電子郵件。
精心製作的“魚叉”
如上所述,活動早期的釣魚電子郵件聲稱來自埃及Enppi石油公司,邀請收件人代表Burullus天然氣公司提交有關羅塞塔公共設施項目的投標材料。
電子郵件看上去極為逼真,因為它不僅有提交投標的截止日期,甚至還要求提供投標保證金,但附件中的文檔被證實攜帶了Agent Tesla間諜木馬。
更為關鍵的是,羅塞塔公共設施項目的確是真實存在的,且確實涉及到Enppi和Burullus這兩家公司。因此,對於瞭解這個項目的石油和天然氣行業業內內人士而言,電子郵件所包含的信息足以說服他們打開附件。
基於比特梵德的遙測技術,類似的電子郵件在馬來西亞、美國、伊朗、南非、阿曼和土耳其均有出現,而這些都是在石油和天然氣行業中發揮重要作用的國家(例如,美國和伊朗就是全球最大的石油生產國之一)。
包含化學品郵輪貨船行業術語的新“魚叉”
在4月12日發送的釣魚電子郵件通知收件人需要發送“MT.Sinar Maluku”號貨船的預估港口使費(Estimated Port Disbursement Account,EPDA)以及有關集裝箱數量的信息。
調查顯示,的確有這麼一艘登記於印度尼西亞的貨船已於4月12日離港,預計將於4月14日抵達目的地。這表明,新的網絡釣魚活動同樣具有高度的針對性。
Agent Tesla間諜木馬威力如何?
相關資料顯示,Agent Tesla間諜木馬自2014年以來一直存在,且從未停止過改進和更新。更為關鍵的是,它是以“惡意軟件即服務(Malware-as-a-Service,MaaS)”的形式存在,只需支付一筆費用就可以購買到。
Agent Tesla不僅能夠從受感染系統以及各種已安裝的軟件中提取憑證、複製剪貼板數據、執行屏幕截圖、表單抓取和按鍵記錄,而且還被賦予了能夠隱秘執行、長久駐留以及逃避安全檢測的能力,可以說是一款全能的間諜木馬。
結語
如果你有每天看新聞的習慣,那麼你就應該知道,新型冠狀病毒疫情爆發對全球石油需求的衝擊遠超預期。近幾周以來,石油和天然氣行業承受著巨大的壓力,每桶石油價格下降了一半以上,跌至2002年以來的最低水平。
而網絡犯罪分子通常很會投機取巧,他們往往會藉助社會熱點來進行魚叉式活動。因此,我們會在最近看到針對石油和天然氣行業的網絡攻擊活動開始爆發也就不足為奇了。
比特梵德表示,儘管此次攻擊者使用的惡意軟件有效載荷本身並不像更高級和針對性攻擊中所使用的自定義惡意軟件那樣複雜,但這些活動的確也經過了精心策劃,值得我們留意並防範。
