[[419491]]

該組織通常旨在竊取目標數據，最初被認為與Gorgon Group有關聯：這是一個以瞄準西方政府而聞名的巴基斯坦組織。據Anomali稱，這種關聯尚未得到證實，但研究人員傾向于認為這些說烏爾都語的群體起源于巴基斯坦。

Aggah最新活動的目標包括臺灣制造公司Fon-star International Technology、臺灣工程公司FomoTech和韓國電力公司現代電氣(Hyundai Electric)。

威脅行為者通常將全球制造商和其他供應商作為攻擊目標，不僅是為了攻擊他們，還為了滲透到一些更知名的客戶。比如在4月份，現已解散的REvil團伙在蘋果大型產品發布活動之前成功部署了針對蘋果電腦的臺灣供應商廣達(Quanta)的勒索軟件。

REvil從Quanta竊取了文件，其中包括一些Apple新產品的藍圖。運營商威脅要泄露更多未發布產品的信息以迫使該公司在Apple Spring Loaded之前付款。

利用受損的WordPress網站

研究人員表示，最新的Aggah魚叉式網絡釣魚活動始于一封偽裝成“FoodHub.co.uk”的自定義電子郵件，這是一家位于英國的在線食品配送服務公司。

電子郵件正文包括訂單和發貨信息，以及一個名為“Purchase order 4500061977,pdf.ppam”的PowerPoint文件，其中包含混淆宏，這些宏使用mshta.exe執行來自已知的受感染網站mail.hoteloscar.in/images的JavaScript。

他們說：“Hoteloscar.in是印度一家酒店的正式網站，該網站已被入侵以托管惡意腳本。”“在整個活動中，我們觀察到合法網站被用來托管惡意腳本，其中大部分似乎是WordPress網站，表明該組織可能利用了WordPress漏洞。”

研究人員指出，JavaScript使用反調試技術，例如setInterval，根據執行時間檢測調試器的使用情況。如果檢測到調試器，這會將setInterval發送到一個無限循環中。在調試完成后，腳本返回http://dlsc.af/wp-admin/buy/5[.]html，這是另一個受損的一家阿富汗食品經銷商的網站。

研究人員表示，最終，Javascript使用PowerShell加載十六進制編碼的有效payload，最終的有效載荷是Warzone RAT，這是一種基于C++的惡意軟件，可在暗網上購買。

他們寫道：“Warzone是一種商品惡意軟件，其破解版托管在GitHub上。”“RAT重用了來自Ave Maria竊取程序的代碼。”Warzone RAT的功能包括權限提升、鍵盤記錄;遠程shell、下載和執行文件、文件管理器和網絡持久性。”

“為了繞過用戶帳戶控制(UAC)，Windows Defender路徑被添加到PowerShell命令中以繞過它。”“Warzone中的權限升級是使用sdclt.exe執行的，sdclt.exe是Windows 10中的Windows備份實用程序。”

Anomali團隊注意到Aggah在攻擊中使用的許多策略證明了這個組織的威脅性，這些策略包括：使用包含宏的惡意文檔和惡意PowerPoint文件;PowerShell文件中的混淆有效payload，通常是十六進制編碼的;使用嵌入網站的腳本;訂單和支付信息的主題;以及上述在目標行業內使用偽造B2B電子郵件地址。

本文翻譯自：https://threatpost.com/aggah-wordpress-spearphishing/168657/如若轉載，請注明原文地址。