启明星辰ADLab接连捕获到大量针对全球制造、运输、能源等行业及部分医疗机构发起的鱼叉式钓鱼邮件定向攻击。从邮件的分析结果来看，受害者大多遍布于美国、加拿大、德国、中国、英国、法国、西班牙等国家和地区。

攻击者以“装船通知单”、“装箱交货价单”、“紧急运输文件”等主题邮件作为诱饵向攻击目标植入信息窃密木马(Agent Tesla、Formbook、Lokibot)和远程控制程序(NanoCore、Remcos)。我们通过对收集到的攻击工具进行去重并做分析，最终发现此次攻击活动关联着1362个攻击样本。通过同源分析，我们发现这批样本中有近80%是同一款恶意软件，对其分析判定后确定这正是近期被大范围传播且极为活跃的新型下载者病毒Guloader。Guloader是一款免杀能力很强的病毒，近期全球各大厂商均对其进行了预警，其具备沙盒逃逸、代码混淆、反调试、C&C/URL加密和有效载荷加密等多种能力。由于Guloader具有较强的免杀能力和对抗机制，因而受到大量黑客的青睐。本批攻击中，攻击者就广泛地利用Guloader下载者病毒结合云服务来分发窃密工具或远程控制程序(RAT)。

我们通过溯源分析确定此次攻击活动来自尼日利亚，并且关联出了大批量的黑恶意域名(攻击者使用境外的Duck DNS注册动态域名)和IP地址。通过对攻击者使用的网络基础设施，追踪分析发现此次攻击活动最早可追溯到2020年1月。进一步分析我们发现，这批攻击者的攻击动机、攻击目标、作业风格与SWEED黑客组织极为相似，他们还有着相似的攻击习惯，并使用相同窃密木马程序，以及同样风格的C&C地址。因此，我们推断这批攻击背后应该就是SWEED黑客组织。SWEED是一个来自尼日利亚的以获取经济利益为主要目的的黑客组织，其最早出现于2017年，常利用公开披露的漏洞，借助鱼叉式钓鱼邮件来传播木马程序，如Agent Tesla、​Formbook和Lokibot等。该组织曾在早期被披露的攻击活动中，通过窃取被攻击目标用户和企业敏感信息实施中间人攻击，诱使财务人员将款项转至指定账户，是一个典型的网络诈骗团伙。

启明星辰ADLab对本次攻击活动的攻击过程和攻击手法进行了详细地分析和溯源，并对其所使用的新型恶意软件和C&C基础设施进行了深入研究。提醒各大企业单位做好安全防范工作，谨防后续可能出现的攻击。

攻击目标和受害者分布

截止到2020年6月，我们发现攻击者的重点目标为从事对外贸易的中小型企业，其目的是通过植入特定的后门以实现对目标计算机进行信息收集和长期监控，并为接下来的横向移动攻击提供基础。

查看更多资讯请关注bwmd下载站