该组织通常旨在从目标中窃取数据,最初被认为与Gorgon组织有关:一个以西方政府为目标而闻名的巴基斯坦组织。根据Anomali的说法,这种联系尚未得到证实,但研究人员倾向于认为这些讲乌尔都语的群体起源于巴基斯坦。Aggah最新活动的目标包括台湾制造公司Fon-starInternationalTechnology、台湾工程公司FomoTech和韩国电力公司HyundaiElectric。威胁行为者通常以全球制造商和其他供应商为目标,不仅要攻击他们,还要渗透到他们的一些知名度更高的客户中。例如,4月,现已解散的REvil团伙在苹果的大型产品发布会之前成功部署了针对台湾苹果电脑供应商广达的勒索软件。REvil从Quanta窃取了文件,包括一些新Apple产品的蓝图。该运营商威胁要泄露有关未发布产品的更多信息,以迫使该公司在AppleSpringLoaded之前付款。研究人员表示,最新的Aggah鱼叉式网络钓鱼活动利用受感染的WordPress网站,以伪装成英国在线食品配送服务“FoodHub.co.uk”的自定义电子邮件开始。电子邮件文本包括订单和运输信息,以及一个名为“采购订单4500061977,pdf.ppam”的PowerPoint文件,其中包含使用mshta.exe执行来自已知受感染网站mail.hoteloscar的混淆宏。/images中的JavaScript。“Hoteloscar.in是印度一家酒店的官方网站,被入侵以托管恶意脚本,”他们说。“在整个活动中,我们观察到合法网站被用来托管恶意脚本,其中大部分似乎是WordPress网站,这表明该组织可能利用了WordPress漏洞。”研究人员指出,JavaScript使用反调试技术,例如setInterval,根据执行时间检测调试器的使用情况。如果检测到调试器,这会将setInterval发送到无限循环中。调试后,脚本返回http://dlsc.af/wp-admin/buy/5[.]html,这是另一个针对阿富汗食品经销商的受感染网站。研究人员表示,最终,Javascript使用PowerShell加载十六进制编码的有效载荷,由此产生的有效载荷是WarzoneRAT,这是一种基于C++的恶意软件,可在暗网上购买。“Warzone是一种商品恶意软件,其破解版托管在GitHub上,”他们写道。“RAT重用了AveMaria窃取者的代码。”WarzoneRAT的功能包括权限升级、键盘记录;远程shell、下载和执行文件、文件管理器和网络持久性。“为了绕过用户帐户控制(UAC),WindowsDefender路径被添加到PowerShell命令以绕过它。”“Warzone中的权限升级是使用Windows10中的Windows备份实用程序sdclt.exe执行的。Anomali团队指出,Aggah在攻击中使用的许多策略都证明了该组织的威胁,包括:使用包含宏的恶意文档和恶意PowerPoint文件;PowerShell文件中的混淆有效负载,通常采用十六进制编码;使用网站中嵌入的脚本;主题订单和支付信息;以及上述在目标行业内使用虚假B2B邮箱地址的行为。转载请注明出处。
