Fishing Lure这个与巴基斯坦有联系的威胁集团的活动使用被破坏的WordPress网站,向台湾和韩国的制造公司提供Warzone RAT。研究人员发现,威胁者正在利用被破坏的WordPress网站,以亚洲各地的制造商为目标,开展新的鱼叉式网络钓鱼活动,提供Warzone RAT,这是一种可在犯罪论坛上广泛购买的商品信息窃取器。
根据威胁检测和响应安全公司Anomali的新研究,威胁集团Aggah被认为与巴基斯坦有关,并在2019年3月首次被发现,在一个旨在向台湾和韩国的制造公司传播恶意软件的活动中提供RAT。
研究人员指出,该活动于7月初开始,使用欺骗性的电子邮件地址,似乎来自制造商的合法客户,表明它是Aggah的作品。
“针对目标行业的欺骗性企业对企业(B2B)电子邮件地址是与Aggah一致的活动,”Anomali威胁研究公司的Tara Gould和Rory Gould在周四发表的一份关于该活动的报告中写道。
来自Palo Alto Network’s Unit 42的研究人员于2019年3月在针对阿拉伯联合酋长国实体的活动中首次发现Aggah,该活动后来被确定为旨在提供RevengeRAT的全球网络钓鱼活动,研究人员说。
该组织通常旨在窃取目标的数据,最初被认为与Gorgon Group有关:一个以针对西方政府而闻名的巴基斯坦组织。据Anomali报道,这种联系还没有得到证实,但研究人员倾向于同意这个讲乌尔都语的组织起源于巴基斯坦。
阿加的最新活动的目标包括台湾的制造公司方星国际科技、台湾的工程公司FomoTech和韩国的电力公司现代电气。
威胁行为者经常将全球制造商和其他供应商作为目标,不仅是为了针对他们,而且也是为了渗透到他们的一些更知名的客户中去。这方面的一个例子是在4月份,现已解散的REvil团伙在苹果电脑的一个大型产品发布会之前,成功地对苹果电脑的台湾供应商广达公司部署了勒索软件。
REvil从广达公司窃取了包括苹果公司一些新产品蓝图的文件。运营商威胁要发布更多的信息,并泄露新产品的信息,以便在苹果的春季发布会之前向该公司施压,使其付款。
利用被入侵的WordPress网站
研究人员说,最新的Aggah鱼叉式网络钓鱼活动以伪装成 “FoodHub.co.uk “的定制电子邮件开始,FoodHub.co.uk是一家位于英国的在线食品交付服务。
邮件正文包括订单和运输信息,以及一个名为 “采购订单4500061977,pdf.ppam “的附加PowerPoint文件,该文件包含使用mshta.exe的混淆宏,以执行来自一个已知被攻击网站mail.hoteloscar.in/images/5[.]html的JavaScript,研究人员解释说。
他们说:”Hoteloscar.in是印度一家酒店的合法网站,该网站已被破坏,以承载恶意脚本,”。”在整个活动中,我们观察到合法网站被用来承载恶意脚本,其中大部分似乎是WordPress网站,表明该组织可能利用了WordPress的漏洞”。
研究人员指出,该JavaScript使用反调试技术,如setInterval,根据执行时间检测调试器的使用。如果检测到有调试器,这将使setInterval进入一个无限循环。在调试检查之后,该脚本返回了http://dlsc.af/wp-admin/buy/5[.html,这是一个位于阿富汗的食品分销商的另一个被破坏的网站。
最终,Javascript使用PowerShell加载十六进制编码的有效载荷,最终的有效载荷是Warzone RAT,这是一个基于C++的恶意软件,可在暗网上购买,研究人员说。
他们写道:”Warzone是一种商品恶意软件,在GitHub上有破解的版本,”。他们写道:”RAT重用了Ave Maria窃取者的代码。” 研究人员指出,Warzone RAT的功能包括特权升级,键盘记录;远程外壳,下载和执行文件,文件管理器,以及在网络上的持久性。
“为了绕过用户账户控制(UAC),Windows Defender路径被添加到PowerShell命令中以排除它,”他们解释说。”Warzone的特权升级是使用sdclt.exe进行的,这是Windows 10的一个Windows备份工具。”
Anomali团队注意到该活动中使用的一些战术是Aggah的手笔的证据。其中包括使用含有宏的恶意文档和恶意PowerPoint文件;在PowerShell文件中使用混淆的有效载荷,通常为十六进制编码;使用嵌入网站的脚本;订单和付款信息的主题;以及上述使用目标行业内欺骗的B2B电子邮件地址。
暂无评论内容