该机构通常致力于窃取目标数据信息,最开始被指出与Gorgon Group有关系:这是一个以看准西方国家政府部门而闻名于世的巴基斯坦机构。据Anomali称,这类关系并未获得确认,但科研工作人员趋向于觉得这种说乌尔都语的人群始于巴基斯坦。
Aggah最新优惠的目标包含台湾制造企业Fon-star International Technology、中国台湾工程设计公司FomoTech和韩供电公司当代电气设备(Hyundai Electric)。
危害个人行为者通常将全世界生产商和别的经销商做为进攻目标,不但是因为进攻她们,还为了更好地渗入一些更著名的顾客。例如在4月份,已经散伙的REvil犯罪团伙在iPhone大中型发布产品主题活动以前取得成功布署了对于苹果笔记本的中国台湾经销商广达(Quanta)的勒索病毒。
REvil从Quanta窃取了文档,主要包括一些Apple新品的宏伟蓝图。营运商危害要泄漏大量未发布产品的信息以促使该企业在Apple Spring Loaded以前支付。
利用损伤的WordPress网站
科学研究工作员表明,全新的Aggah鱼叉式钓鱼攻击主题活动起源于一封装扮成“FoodHub.co.uk”的自定电子邮箱,这也是一家隶属于法国的线上食品配送服务中心。
电子邮箱文章正文包含订单信息和安排发货信息,及其一个名叫“Purchase order 4500061977,pdf.ppam”的PowerPoint文档,在其中包括搞混宏,这种宏应用mshta.exe实行来源于已经知道的受感柒网址mail.hoteloscar.in/images的JavaScript。
她们说:“Hoteloscar.in是印度的一家宾馆的宣布网址,该网站已被侵入以代管故意脚本制作。”“在全部主题活动中,大家留意到合理合法网址被用于代管故意脚本制作,在其中绝大多数好像是WordPress网站,说明该机构很有可能利用了WordPress系统漏洞。”
科学研究工作人员强调,JavaScript应用反调节技术性,例如setInterval,依据实行時间检验程序调试的运用状况。假如监测到程序调试,这会将setInterval发送至一个不断循环中。在调节成功后,脚本制作回到http://dlsc.af/wp-admin/buy/5[.]html,这也是另一个损伤的一家巴基斯坦食品类代理商的网址。
科学研究工作员表明,最后,Javascript应用PowerShell载入十六进制编号的合理payload,最后的有效载荷是Warzone RAT,这也是一种根据C 的恶意程序,可在暗网上订购。
她们写到:“Warzone是一种产品恶意程序,其破解版下载代管在GitHub上。”“RAT器重了来源于Ave Maria窃取程序流程的编码。”Warzone RAT的作用包含管理权限提高、键盘记录器;远程控制shell、免费下载和实行文档、文件浏览器和互联网持续性。”
“为了更好地绕开用户帐户控制(UAC),Windows Defender途径被加入到PowerShell命令中以绕开它。”“Warzone中的管理权限更新是应用sdclt.exe实行的,sdclt.exe是Windows 10中的Windows备份数据应用工具。”
Anomali精英团队注意到Aggah在伤害中采用的很多对策证实了这一机构的威慑力,这种对策包含:应用包括宏的故意文件和故意PowerPoint文档;PowerShell文件中的搞混合理payload,通常是十六进制编号的;应用置入网址的脚本制作;订单信息和第三方支付信息的主题风格;及其以上在目标领域内应用仿冒B2B电子邮箱地址。
文中翻譯自:https://threatpost.com/aggah-wordpress-spearphishing/168657/倘若转截,请标明全文详细地址。