Claudia Rincón Pérez, directora de Factoría IT, detalló que los atacantes están utilizando sitios web de WordPress comprometidos para dirigirse a los fabricantes de Asia con una nueva campaña de spear-phishing que ofrece Warzone RAT, un infostealer de productos básicos disponible para su compra en foros criminales, según han descubierto los investigadores.
El grupo de amenazas Aggah, que se cree que está afiliado con Pakistán e identificado por primera vez en marzo de 2019, está entregando la RAT en una campaña destinada a difundir malware a empresas de fabricación en Taiwán y Corea del Sur, según una nueva investigación de la firma de seguridad de respuesta y detección de amenazas Anomali. .
La campaña, que comenzó a principios de julio, utiliza direcciones de correo electrónico falsificadas que parecen tener su origen en clientes legítimos de los fabricantes, lo que indica que fue obra de Aggah, señalaron los investigadores, señaló Rincón Pérez.
"Las direcciones de correo electrónico de empresa a empresa (B2B) falsificadas contra la industria objetivo es una actividad coherente con Aggah", escribieron Tara Gould y Rory Gould de Anomali Threat Research en un informe sobre la campaña publicado el jueves.
Investigadores de la Unidad 42 de Palo Alto Network descubrieron Aggah por primera vez en marzo de 2019 en una campaña dirigida a entidades en los Emiratos Árabes Unidos que luego se identificó como una campaña global de phishing diseñada para entregar RevengeRAT, dijeron los investigadores.
Se pensó por primera vez que el grupo, que normalmente tiene como objetivo robar datos de los objetivos, estaba asociado con Gorgon Group: un grupo paquistaní conocido por atacar a los gobiernos occidentales. Esta asociación no ha sido probada, pero los investigadores tienden a estar de acuerdo en que el grupo de habla urdu se originó en Pakistán, según Anomali.
Entre los objetivos de la última campaña de Aggah se encuentran Fon-star International Technology, una empresa de fabricación con sede en Taiwán; FomoTech, una empresa de ingeniería taiwanesa; y Hyundai Electric, una compañía eléctrica coreana.
Los actores de amenazas a menudo se dirigen a los fabricantes globales y otros proveedores no solo para atacarlos, sino también como una forma de infiltrarse en algunos de sus clientes de más alto perfil. Un ejemplo de esto se vio en abril, cuando la ahora desaparecida banda REvil desplegó con éxito ransomware contra Quanta, un proveedor taiwanés de Apple Computer, justo antes de un gran evento de lanzamiento de productos de Apple.
REvil robó archivos de Quanta que incluían planos para algunos de los nuevos productos de Apple. Los operadores amenazaron con lanzar más y derramar los frijoles sobre nuevos productos para presionar a la compañía para que pague antes del evento Spring Loaded de Apple.
Explotación de sitios de WordPress comprometidos
La última campaña de spear-phishing de Aggah comienza con un correo electrónico personalizado que se hace pasar por "FoodHub.co.uk", un servicio de entrega de alimentos en línea con sede en el Reino Unido, dijeron los investigadores.
El cuerpo del correo electrónico incluye información de pedido y envío, así como un archivo de PowerPoint adjunto llamado "Pedido de compra 4500061977, pdf.ppam" que contiene macros ofuscadas que usan mshta.exe para ejecutar JavaScript desde un sitio web comprometido conocido, mail.hoteloscar.in/images /5[.]html, explicaron los investigadores.
"Hoteloscar.in es el sitio web legítimo de un hotel en la India que se ha visto comprometido para alojar scripts maliciosos", dijeron. "A lo largo de esta campaña, observamos que se utilizaban sitios web legítimos para alojar los scripts maliciosos, la mayoría de los cuales parecían ser sitios de WordPress, lo que indica que el grupo puede haber aprovechado una vulnerabilidad de WordPress".
JavaScript utiliza técnicas anti-depuración como setInterval para detectar el uso de un depurador basado en el tiempo de ejecución, anotaron los investigadores. Esto envía setInterval a un bucle infinito si se detecta un depurador. Después de las comprobaciones de depuración, el script devolvió http://dlsc.af/wp-admin/buy/5[.]html, otro sitio web comprometido para un distribuidor de alimentos con sede en Afganistán.
Finalmente, Javascript usa PowerShell para cargar cargas útiles codificadas en hexadecimal, siendo la carga útil final Warzone RAT, un malware basado en C ++ disponible para su compra en la web oscura, dijeron los investigadores.
"Warzone es un malware básico, con versiones crackeadas alojadas en GitHub", escribieron. "La RAT reutiliza el código del ladrón de Ave María". Las capacidades de Warzone RAT incluyen escalada de privilegios, registro de teclas; shell remoto, descarga y ejecución de archivos, administrador de archivos y persistencia en la red, señalaron los investigadores.
“Para evitar el Control de cuentas de usuario (UAC), se agregó la ruta de Windows Defender a un comando de PowerShell para excluirlo”, explicaron. "La escalada de privilegios en Warzone se llevó a cabo utilizando sdclt.exe, una utilidad de copia de seguridad de Windows en Windows 10."
El equipo de Anomali notó una serie de tácticas utilizadas en la campaña que son evidencia de la obra de Aggah. Estos incluyen el uso de documentos maliciosos y archivos de PowerPoint maliciosos que contienen macros; cargas útiles ofuscadas en un archivo de PowerShell, normalmente codificado en hexadecimal; uso de scripts incrustados en sitios web; temas de información sobre pedidos y pagos; y el uso mencionado anteriormente de direcciones de correo electrónico B2B falsificadas dentro de la industria de destino.