该组织通常旨在窃取目标数据，最初被认为与Gorgon Group有关联：这是一个以瞄准西方政府而闻名的巴基斯坦组织。据Anomali称，这种关联尚未得到证实，但研究人员倾向于认为这些说乌尔都语的群体起源于巴基斯坦。

Aggah最新活动的目标包括台湾制造公司Fon-star International Technology、台湾工程公司FomoTech和韩国电力公司现代电气（Hyundai Electric）。

威胁行为者通常将全球制造商和其他供应商作为攻击目标，不仅是为了攻击他们，还为了渗透到一些更知名的客户。比如在4月份，现已解散的REvil团伙在苹果大型产品发布活动之前成功部署了针对苹果电脑的台湾供应商广达（Quanta）的勒索软件。

REvil从Quanta窃取了文件，其中包括一些Apple新产品的蓝图。运营商威胁要泄露更多未发布产品的信息以迫使该公司在Apple Spring Loaded之前付款。

利用受损的WordPress网站

研究人员表示，最新的Aggah鱼叉式网络钓鱼活动始于一封伪装成“FoodHub.co.uk”的自定义电子邮件，这是一家位于英国的在线食品配送服务公司。

电子邮件正文包括订单和发货信息，以及一个名为“Purchase order 4500061977,pdf.ppam”的PowerPoint文件，其中包含混淆宏，这些宏使用mshta.exe执行来自已知的受感染网站mail.hoteloscar.in/images的JavaScript。

他们说：“Hoteloscar.in是印度一家酒店的正式网站，该网站已被入侵以托管恶意脚本。”“在整个活动中，我们观察到合法网站被用来托管恶意脚本，其中大部分似乎是WordPress网站，表明该组织可能利用了WordPress漏洞。”

研究人员指出，JavaScript使用反调试技术，例如setInterval，根据执行时间检测调试器的使用情况。如果检测到调试器，这会将setInterval发送到一个无限循环中。在调试完成后，脚本返回http://dlsc.af/wp-admin/buy/5[.]html，这是另一个受损的一家阿富汗食品经销商的网站。

研究人员表示，最终，Javascript使用PowerShell加载十六进制编码的有效payload，最终的有效载荷是Warzone RAT，这是一种基于C++的恶意软件，可在暗网上购买。

他们写道：“Warzone是一种商品恶意软件，其破解版托管在GitHub上。”“RAT重用了来自Ave Maria窃取程序的代码。”Warzone RAT的功能包括权限提升、键盘记录；远程shell、下载和执行文件、文件管理器和网络持久性。”

“为了绕过用户帐户控制（UAC），Windows Defender路径被添加到PowerShell命令中以绕过它。”“Warzone中的权限升级是使用sdclt.exe执行的，sdclt.exe是Windows 10中的Windows备份实用程序。”

Anomali团队注意到Aggah在攻击中使用的许多策略证明了这个组织的威胁性，这些策略包括：使用包含宏的恶意文档和恶意PowerPoint文件；PowerShell文件中的混淆有效payload，通常是十六进制编码的；使用嵌入网站的脚本；订单和支付信息的主题；以及上述在目标行业内使用伪造B2B电子邮件地址。

参考及来源：https://threatpost.com/aggah-wordpress-spearphishing/168657/