該組織通常旨在竊取目標(biāo)數(shù)據(jù)，最初被認(rèn)為與Gorgon Group有關(guān)聯(lián)：這是一個以瞄準(zhǔn)西方政府而聞名的巴基斯坦組織。據(jù)Anomali稱，這種關(guān)聯(lián)尚未得到證實，但研究人員傾向于認(rèn)為這些說烏爾都語的群體起源于巴基斯坦。

　　Aggah最新活動的目標(biāo)包括臺灣制造公司Fon-star International Technology、臺灣工程公司FomoTech和韓國電力公司現(xiàn)代電氣（Hyundai Electric）。

　　威脅行為者通常將全球制造商和其他供應(yīng)商作為攻擊目標(biāo)，不僅是為了攻擊他們，還為了滲透到一些更知名的客戶。比如在4月份，現(xiàn)已解散的REvil團(tuán)伙在蘋果大型產(chǎn)品發(fā)布活動之前成功部署了針對蘋果電腦的臺灣供應(yīng)商廣達(dá)（Quanta）的勒索軟件。

　　REvil從Quanta竊取了文件，其中包括一些Apple新產(chǎn)品的藍(lán)圖。運營商威脅要泄露更多未發(fā)布產(chǎn)品的信息以迫使該公司在Apple Spring Loaded之前付款。

　　利用受損的WordPress網(wǎng)站

　　研究人員表示，最新的Aggah魚叉式網(wǎng)絡(luò)釣魚活動始于一封偽裝成“FoodHub.co.uk”的自定義電子郵件，這是一家位于英國的在線食品配送服務(wù)公司。

　　電子郵件正文包括訂單和發(fā)貨信息，以及一個名為“Purchase order 4500061977,pdf.ppam”的PowerPoint文件，其中包含混淆宏，這些宏使用mshta.exe執(zhí)行來自已知的受感染網(wǎng)站mail.hoteloscar.in/images的JavaScript。

　　他們說：“Hoteloscar.in是印度一家酒店的正式網(wǎng)站，該網(wǎng)站已被入侵以托管惡意腳本。”“在整個活動中，我們觀察到合法網(wǎng)站被用來托管惡意腳本，其中大部分似乎是WordPress網(wǎng)站，表明該組織可能利用了WordPress漏洞。”

　　研究人員指出，JavaScript使用反調(diào)試技術(shù)，例如setInterval，根據(jù)執(zhí)行時間檢測調(diào)試器的使用情況。如果檢測到調(diào)試器，這會將setInterval發(fā)送到一個無限循環(huán)中。在調(diào)試完成后，腳本返回http://dlsc.af/wp-admin/buy/5[.]html，這是另一個受損的一家阿富汗食品經(jīng)銷商的網(wǎng)站。

　　研究人員表示，最終，Javascript使用PowerShell加載十六進(jìn)制編碼的有效payload，最終的有效載荷是Warzone RAT，這是一種基于C++的惡意軟件，可在暗網(wǎng)上購買。

　　他們寫道：“Warzone是一種商品惡意軟件，其破解版托管在GitHub上。”“RAT重用了來自Ave Maria竊取程序的代碼。”Warzone RAT的功能包括權(quán)限提升、鍵盤記錄；遠(yuǎn)程shell、下載和執(zhí)行文件、文件管理器和網(wǎng)絡(luò)持久性。“

　　”為了繞過用戶帳戶控制（UAC），Windows Defender路徑被添加到PowerShell命令中以繞過它。“”Warzone中的權(quán)限升級是使用sdclt.exe執(zhí)行的，sdclt.exe是Windows 10中的Windows備份實用程序。“

　　Anomali團(tuán)隊注意到Aggah在攻擊中使用的許多策略證明了這個組織的威脅性，這些策略包括：使用包含宏的惡意文檔和惡意PowerPoint文件；PowerShell文件中的混淆有效payload，通常是十六進(jìn)制編碼的；使用嵌入網(wǎng)站的腳本；訂單和支付信息的主題；以及上述在目標(biāo)行業(yè)內(nèi)使用偽造B2B電子郵件地址。