WordPress网站在Aggah的鱼叉式网络钓鱼活动中被滥用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > WordPress网站在Aggah的鱼叉式网络钓鱼活动中被滥用

WordPress网站在Aggah的鱼叉式网络钓鱼活动中被滥用

小墨安全管家 2021-08-26 08:04 CC防护 89 ℃
DDoS防御

Anomali团队注意到Aggah在攻击中使用的很多策略证明了那个组织的威胁性,这些策略包括:使用包含宏的恶意文档和恶意PowerPoint文件;PowerShell文件中的混淆有效payload,通常是十六进制编码的;使用嵌入网站的足本;订单和支付信息的主题;以及上述在目标行业内使用伪造B2B电子邮件地址。

利用受损的WordPress网站

研究人员表示,最新的Aggah鱼叉式网络钓鱼活动始于一封伪装成“FoodHub.co.uk”的自定义电子邮件,这是一家位于英国的在线食品配送服务公司。

研究人员表示,最后来,Javascript使用PowerShell加载十六进制编码的有效payload,最后来的有效载荷是Warzone RAT,这是一种基于C++的恶意软件,可在暗网上购买。

Aggah最新活动的目标包括台湾创造公司Fon-star International Technology、台湾工程公司FomoTech和韩国电力公司现代电气(Hyundai Electric)。

电子邮件正文包括订单和发货信息,以及一具名为“Purchase order 4500061977,pdf.ppam”的PowerPoint文件,其中包含混淆宏,这些宏使用mshta.exe执行来自已知的受感染网站mail.hoteloscar.in/images的JavaScript。

威胁行为者通常将全球创造商和其他供应商作为攻击目标,不仅是为了攻击他们,还为了渗透到一些更知名的客户。比如在4月份,现已解散的REvil团伙在苹果大型产品公布活动之前成功部署了针对苹果电脑的台湾供应商广达(Quanta)的勒索软件。

他们讲:“Hoteloscar.in是印度一家酒店的正式网站,DDoS防御,该网站已被入侵以托管恶意足本。”“在整个活动中,DDoS防御,我们观看到合法网站被用来托管恶意足本,其中大部分也许是WordPress网站,表明该组织大概利用了WordPress漏洞。”

他们写道:“Warzone是一种商品恶意软件,其破解版托管在GitHub上。”“RAT重用了来自Ave Maria窃取程序的代码。”Warzone RAT的功能包括权限提升、键盘记录;远程shell、下载和执行文件、文件治理器和网络持久性。”

研究人员指出,CC防御,JavaScript使用反调试技术,例如setInterval,依照执行时刻检测调试器的使用事情。假如检测到调试器,这会将setInterval发送到一具无限循环中。在调试完成后,足本返回[.]html,这是另一具受损的一家阿富汗食品经销商的网站。

“为了绕过用户帐户操纵(UAC),Windows Defender路径被添加到PowerShell命令中以绕过它。”“Warzone中的权限升级是使用sdclt.exe执行的,sdclt.exe是Windows 10中的Windows备份有用程序。”

WordPress网站在Aggah的鱼叉式网络钓鱼活动中被滥用

REvil从Quanta窃取了文件,其中包括一些Apple新产品的蓝图。运营商威胁要泄露更多未公布产品的信息以迫使该公司在Apple Spring Loaded之前付款。

该组织通常旨在窃取目标数据,最初被以为与Gorgon Group有关联:这是一具以瞄准西方政府而著名的巴基斯坦组织。据Anomali称,这种关联尚未得到证实,但研究人员倾向于以为这些讲乌尔都语的群体起源于巴基斯坦。

,DDoS防御


DDoS防御

当前位置:主页 > CC防护 > WordPress网站在Aggah的鱼叉式网络钓鱼活动中被滥用

猜你喜欢

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119