WordPress網(wǎng)站在A(yíng)ggah的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)活動(dòng)中被濫用

該組織通常旨在竊取目標數據，最初被認為與Gorgon Group有關(guān)聯(lián)：這是一個(gè)以瞄準西方政府而聞名的巴基斯坦組織。據Anomali稱(chēng)，這種關(guān)聯(lián)尚未得到證實(shí)，但研究人員傾向于認為這些說(shuō)烏爾都語(yǔ)的群體起源于巴基斯坦。

Aggah最新活動(dòng)的目標包括臺灣制造公司Fon-star International Technology、臺灣工程公司FomoTech和韓國電力公司現代電氣(Hyundai Electric)。

威脅行為者通常將全球制造商和其他供應商作為攻擊目標，不僅是為了攻擊他們，還為了滲透到一些更知名的客戶(hù)。比如在4月份，現已解散的REvil團伙在蘋(píng)果大型產(chǎn)品發(fā)布活動(dòng)之前成功部署了針對蘋(píng)果電腦的臺灣供應商廣達(Quanta)的勒索軟件。

REvil從Quanta竊取了文件，其中包括一些Apple新產(chǎn)品的藍圖。運營(yíng)商威脅要泄露更多未發(fā)布產(chǎn)品的信息以迫使該公司在A(yíng)pple Spring Loaded之前付款。

利用受損的WordPress網(wǎng)站

研究人員表示，最新的Aggah魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)活動(dòng)始于一封偽裝成“FoodHub.co.uk”的自定義電子郵件，這是一家位于英國的在線(xiàn)食品配送服務(wù)公司。

電子郵件正文包括訂單和發(fā)貨信息，以及一個(gè)名為“Purchase order 4500061977,pdf.ppam”的PowerPoint文件，其中包含混淆宏，這些宏使用mshta.exe執行來(lái)自已知的受感染網(wǎng)站mail.hoteloscar.in/images的JavaScript。

他們說(shuō)：“Hoteloscar.in是印度一家酒店的正式網(wǎng)站，該網(wǎng)站已被入侵以托管惡意腳本。”“在整個(gè)活動(dòng)中，我們觀(guān)察到合法網(wǎng)站被用來(lái)托管惡意腳本，其中大部分似乎是WordPress網(wǎng)站，表明該組織可能利用了WordPress漏洞。”

研究人員指出，JavaScript使用反調試技術(shù)，例如setInterval，根據執行時(shí)間檢測調試器的使用情況。如果檢測到調試器，這會(huì )將setInterval發(fā)送到一個(gè)無(wú)限循環(huán)中。在調試完成后，腳本返回http://dlsc.af/wp-admin/buy/5[.]html，這是另一個(gè)受損的一家阿富汗食品經(jīng)銷(xiāo)商的網(wǎng)站。

研究人員表示，最終，Javascript使用PowerShell加載十六進(jìn)制編碼的有效payload，最終的有效載荷是Warzone RAT，這是一種基于C++的惡意軟件，可在暗網(wǎng)上購買(mǎi)。

他們寫(xiě)道：“Warzone是一種商品惡意軟件，其破解版托管在GitHub上。”“RAT重用了來(lái)自Ave Maria竊取程序的代碼。”Warzone RAT的功能包括權限提升、鍵盤(pán)記錄;遠程shell、下載和執行文件、文件管理器和網(wǎng)絡(luò )持久性。”

“為了繞過(guò)用戶(hù)帳戶(hù)控制(UAC)，Windows Defender路徑被添加到PowerShell命令中以繞過(guò)它。”“Warzone中的權限升級是使用sdclt.exe執行的，sdclt.exe是Windows 10中的Windows備份實(shí)用程序。”

Anomali團隊注意到Aggah在攻擊中使用的許多策略證明了這個(gè)組織的威脅性，這些策略包括：使用包含宏的惡意文檔和惡意PowerPoint文件;PowerShell文件中的混淆有效payload，通常是十六進(jìn)制編碼的;使用嵌入網(wǎng)站的腳本;訂單和支付信息的主題;以及上述在目標行業(yè)內使用偽造B2B電子郵件地址。

本文翻譯自：https://threatpost.com/aggah-wordpress-spearphishing/168657/如若轉載，請注明原文地址。

【編輯推薦】