奈及利亞「經濟與金融犯罪委員會」 (EFCC) 在一項名為「Operation Killer Bee」(殺人蜂行動) 的突襲誘捕行動當中逮捕了三名涉及全球詐騙的奈及利亞籍嫌犯。趨勢科技在這項行動當中提供了有關該集團的背景資訊及做案手法。

背景

2020 年初，就在「石油輸出國組織」 (OPEC) 為了因應 新冠肺炎(COVID-19) 疫情而決定在俄羅斯與沙烏地阿拉伯地區減產前夕，許多石油天然氣產業的公司都遭到了網路攻擊，駭客使用的是Agent Tesla 惡意程式。我們分析了這起攻擊使用的惡意程式樣本 (趨勢科技命名為  TrojanSpy.MSIL.NEGASTEAL.THCAFBB，SHA-256 雜湊碼 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756)，找出了惡意程式背後的駭客集團以及他們的做案手法 ─ 假冒埃及某大型石油公司。

趨勢科技所分析的惡意程式會竊取某些應用程式和通訊協定的資訊與登入憑證，如：瀏覽器、電子郵件用戶端、FTP 檔案傳輸協定、Wi-Fi 等等。除此之外，也會鍵盤側錄輸入並擷取螢幕截圖。

除了使用 Agent Tesla 惡意程式之外，該集團還使用 Yandex 電子郵件服務來當成資料接收站。從監測資料當中我們觀察到很多偵測案例都出現在中東及東南亞地區，這一點相當合理，因為大多數的石油公司及生產設備和工廠都集中在這些地區。圖 1 的感染分布圖顯示的是資料接收站的資訊。