WordPress-Websites werden in der Aggah-Speer-Phishing-Kampagne missbraucht

  • Die Kampagne der mit Pakistan verbundenen Bedrohungsgruppe nutzt kompromittierte WordPress-Websites, um das Warzone-RAT an Fertigungsunternehmen in Taiwan und Südkorea zu liefern.

    Bedrohungsakteure nutzen kompromittierte WordPress-Websites, um Hersteller in ganz Asien mit einer neuen Spearphishing-Kampagne anzugreifen, die das Warzone RAT, einen Infostealer, der in kriminellen Foren zum Kauf angeboten wird, liefert.

    Die Bedrohungsgruppe Aggah, von der angenommen wird, dass sie mit Pakistan verbunden ist, und die erstmals im März 2019 identifiziert wurde, liefert das RAT in einer Kampagne, die darauf abzielt, Malware an Fertigungsunternehmen in Taiwan und Südkorea zu verbreiten, so eine neue Untersuchung des Sicherheitsunternehmens Anomali, das Bedrohungen erkennt und darauf reagiert.

    Die Kampagne, die Anfang Juli begann, verwendet gefälschte E-Mail-Adressen, die den Anschein erwecken, von legitimen Kunden der Hersteller zu stammen, und signalisieren, dass es sich um das Werk von Aggah handelt, so die Forscher.


    “Gefälschte Business-to-Business (B2B)-E-Mail-Adressen, die sich gegen die Zielbranche richten, sind Aktivitäten, die mit Aggah übereinstimmen”, schreiben Tara Gould und Rory Gould von Anomali Threat Research in einem am Donnerstag veröffentlichten Bericht über die Kampagne.

    Forscher von Palo Alto Network’s Unit 42 entdeckten Aggah erstmals im März 2019 in einer Kampagne, die auf Unternehmen in den Vereinigten Arabischen Emiraten abzielte und später als globale Phishing-Kampagne zur Verbreitung von RevengeRAT identifiziert wurde, so die Forscher.

    Die Gruppe, die in der Regel darauf abzielt, Daten von Zielen zu stehlen, wurde zunächst mit der Gorgon Group in Verbindung gebracht: einer pakistanischen Gruppe, die dafür bekannt ist, westliche Regierungen ins Visier zu nehmen. Diese Verbindung ist nicht bewiesen, aber die Forscher sind sich einig, dass die Urdu-sprachige Gruppe ihren Ursprung in Pakistan hat, so Anomali.

    Zu den Zielen der jüngsten Kampagne von Aggah gehörten Fon-star International Technology, ein in Taiwan ansässiges Produktionsunternehmen, FomoTech, ein taiwanesisches Maschinenbauunternehmen, und Hyundai Electric, ein koreanisches Energieunternehmen.

    Bedrohungsakteure haben es oft auf weltweit tätige Hersteller und andere Zulieferer abgesehen, nicht nur, um sie ins Visier zu nehmen, sondern auch, um einige ihrer bekannteren Kunden zu infiltrieren. Ein Beispiel dafür war im April, als die inzwischen aufgelöste REvil-Bande kurz vor einer großen Apple-Produktvorstellung erfolgreich Ransomware gegen Quanta, einen taiwanesischen Lieferanten von Apple Computer, einsetzte.

    REvil stahl Dateien von Quanta, die Blaupausen für einige der neuen Apple-Produkte enthielten. Die Betreiber drohten damit, weitere Daten zu veröffentlichen und neue Produkte zu enthüllen, um das Unternehmen vor der Apple-Veranstaltung “Spring Loaded” unter Druck zu setzen, damit es zahlt.

    Ausnutzung kompromittierter WordPress-Seiten

    Die neueste Spearphishing-Kampagne von Aggah beginnt mit einer benutzerdefinierten E-Mail, die sich als “FoodHub.co.uk” ausgibt, einem Online-Lebensmittel-Lieferdienst mit Sitz in Großbritannien, so die Forscher.

    Der E-Mail-Text enthält Bestell- und Versandinformationen sowie eine angehängte PowerPoint-Datei mit dem Namen “Purchase order 4500061977,pdf.ppam”, die verschleierte Makros enthält, die mshta.exe verwenden, um JavaScript von einer bekannten kompromittierten Website, mail.hoteloscar.in/images/5, auszuführen.[.]html, erklärten die Forscher.

    “Hoteloscar.in ist die legitime Website für ein Hotel in Indien, die kompromittiert wurde, um bösartige Skripte zu hosten”, so die Forscher. “Während dieser Kampagne beobachteten wir, dass legitime Websites zum Hosten der bösartigen Skripte verwendet wurden, von denen die meisten WordPress-Websites zu sein schienen, was darauf hindeutet, dass die Gruppe möglicherweise eine WordPress-Schwachstelle ausgenutzt hat.”

    Das JavaScript verwendet Anti-Debugging-Techniken wie setInterval, um die Verwendung eines Debuggers anhand der Ausführungszeit zu erkennen, so die Forscher. Dadurch wird setInterval in eine Endlosschleife geschickt, wenn ein Debugger erkannt wird. Nach den Debugging-Prüfungen gab das Skript http://dlsc.af/wp-admin/buy/5 zurück.[.]html, eine weitere kompromittierte Website für einen in Afghanistan ansässigen Lebensmittelhändler.

    Schließlich verwendet das Javascript PowerShell, um hexadezimal kodierte Nutzdaten zu laden, wobei die endgültige Nutzlast das Warzone RAT ist, eine C++-basierte Malware, die im Dark Web zum Kauf angeboten wird, so die Forscher.

    “Warzone ist eine handelsübliche Malware, deren geknackte Versionen auf GitHub gehostet werden”, schreiben sie. “Der RAT verwendet den Code des Ave Maria Stealers wieder.” Zu den Fähigkeiten von Warzone RAT gehören Privilegienerweiterung, Keylogging, Remote Shell, Herunterladen und Ausführen von Dateien, Dateimanager und Persistenz im Netzwerk, so die Forscher.

    “Um die Benutzerkontensteuerung (UAC) zu umgehen, wurde der Windows Defender-Pfad zu einem PowerShell-Befehl hinzugefügt, um ihn auszuschließen”, erklärten sie. “Die Privilegienerweiterung in Warzone wurde mithilfe von sdclt.exe durchgeführt, einem Windows-Backup-Dienstprogramm in Windows 10.”

    Das Anomali-Team stellte eine Reihe von Taktiken fest, die in der Kampagne verwendet wurden und die auf Aggahs Handschrift hindeuten. Dazu gehören die Verwendung bösartiger Dokumente und bösartiger PowerPoint-Dateien, die Makros enthalten, verschleierte Nutzdaten in einer PowerShell-Datei, die in der Regel hexadezimal verschlüsselt sind, die Verwendung von in Websites eingebetteten Skripten, Themen für Bestell- und Zahlungsinformationen und die bereits erwähnte Verwendung gefälschter B2B-E-Mail-Adressen in der Zielbranche.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com