【钓鱼预警】针对跨境销售投递Tesla间谍木马

1、初始投递

现在的网络安全形势错综复杂,我们近期捕获到多起针对跨境企业的钓鱼攻击,这次是一封针对海外销售人员的Tesla木马钓鱼。该钓鱼谎称采购需求,使用了伪造知名公司域名+密送功能,最终通过邮件把窃取的数据发送给黑客邮箱。使用的技战术包括:发件人伪装,附件压缩,恶意附件,后门安装,合法服务滥用,心理操纵。根据多个平台上的样本上传时间,应该是DP团队全网首次捕获,需要验证己方安全有效性的用户请联系DP官微。

邮件正文如下:

发件人使用了一个合法的公司域名,该公司是一家业内知名企业,但显然不是签名栏展示的SPINA公司,攻击者用错了logo,同时manager拼写错误。下面还展示了GDPR,环保声明等等,戏挺足的。对于安全人员来说,这些都是小把戏,但对于销售来说,极容易对突然而来的采购需求激动不已,在黑客的心里操纵之下轻易打开附件。

传到DeepPhish EML 分析平台跑一下

发件服务器为74.48.108.161

社工话术分析,可以看出端倪

技术特征分析,看出它的发件域名是个加蓬域名。。。。。

2、恶意附件

邮件中有个宣称是采购需求的ISO附件,打开后里面包个exe,为Tesla间谍软件。

Agent Tesla是一款"老牌"恶意软件即服务"MAAS"恶意程序,在过去的几年间,一直保持着较高的活跃度。其主要通过社工钓鱼邮件传播,"商务邮件信"和伪装航运公司钓鱼邮件是该木马经常使用的社工钓鱼方式。通过社工钓鱼方式获取初始访问权限后,作为第一阶段的恶意软件,AgentTesla提供对受感染系统的远程访问,然后用于下载更复杂的第二阶段工具,包括勒索软件。

Agent Tesla是基于.Net的远程访问木马(RAT)和数据窃取程序,旨在窃取用户的敏感信息,如登录凭据、银行账户信息、电子邮件等。其具有强大的远程控制功能,可以通过键盘记录、屏幕截图、摄像头监控等方式监视用户行为。该间谍木马具有反调试功能,同时诱饵文件使用了多层解密,大大增加了分析难度。

3、沙箱行为

该样本并没有使用传统C2,而是把需要的数据通过SMTPS 587加密协议发送给指定邮箱,所谓的"白地址",更增加了检出的难度。邮件主题为PW_%USERNAME%/%COMPUTERNAME%。

其中SMTP服务使用的是俄罗斯知名服务商yandex,主机位于莫斯科,攻击者账户"username": "info@ocean-automation-com.gq", "password": "marcellinus360"}

收件服务依然是在yandex

其他不再赘述,附上VT地址

https://www.virustotal.com/gui/file/b13deb3b7c44eeefd0be3b6c4fec36248740a83a8dc7b75cfa7b9a39b05b6a30

4、总结

对出海的企业来讲,为了更好的邮件送达率,往往采用一些(国外的)云邮箱服务,很多安全措施是依赖于供应商自身的邮件安全能力,并不能完全自主,这个时候员工的安全意识是否够强,就更为重要了。

同时也提醒了我们,在做网络检测的时候,不仅要关注C2反连,还要关注与外界的异常邮件通信,尤其是出站587 465 25这几个端口,不妨通过主机防火墙设置白名单仅允许访问公司邮箱服务器地址的相关端口。对于复杂庞大的办公网来说,无论是大企业还是中小企业,海外的网络并不方便充分部署安全产品,关注钓鱼预警就更能有的放矢了。

各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓训练平台。


相关推荐
Whoami!19 小时前
5-4〔OSCP ◈ 研记〕❘ SQL注入攻击▸基于 UNION 的SQLi
网络安全·信息安全·sql注入·oscp
christine-rr2 天前
linux常用命令(6)——网络管理
linux·服务器·网络·ubuntu·网络安全
合作小小程序员小小店2 天前
Web渗透之身份认证与访问控制缺陷(越权(水平垂直),访问控制(没有验证),脆弱验证(Cookie,JWT,Session等))
安全·web安全·网络安全·asp.net·网络攻击模型
啦啦9117142 天前
Wise Duplicate Finder查重清理软件!一键查重,支持批量处理!
5g·网络安全
我不是QI2 天前
DES 加密算法:核心组件、加解密流程与安全特性
经验分享·算法·安全·网络安全·密码学
搞科研的小刘选手2 天前
【通信&网络安全主题】第六届计算机通信与网络安全国际学术会议(CCNS 2025)
大数据·人工智能·网络安全·vr·通信工程·网络技术·计算机工程
Che_Che_3 天前
论文阅读-IDFUZZ: Intelligent Directed Grey-box Fuzzing
论文阅读·网络安全·模糊测试·定向模糊测试
介一安全3 天前
【Frida Android】基础篇8:Java层Hook基础——调用带对象参数的方法
android·网络安全·逆向·安全性测试·frida
emma羊羊3 天前
【SSRF漏洞】Server-Side Request Forgery 服务器端请求伪造
网络安全·pikachu·ssrf
介一安全3 天前
【Frida Android】基础篇4:Java层Hook基础——调用静态方法
android·网络安全·逆向·安全性测试·frida