新Aggah运动以AZORult和RevengeRAT为“武器”

关注 2019-09-26 06:17:16 查看数 9636 ,评论数 0 工具 资讯

来自Yoroi-Cybaze ZLab的研究人员观察到,最新的Aggah活动在2019年9月初推出AZORult作为其最终恶意载荷,此后,它又接着使用了RevengeRAT。在这次活动中观察到的RevengeRAT样本也可能与Gorgon组织有关。


概览


本次活动中涉及的样本,除了使用该活动的招牌手段:Blogspot博客页面隐藏恶意载荷之外,还使用了三层Pastbin嵌套的方式获取最终的载荷。


由于该攻击组织不仅会针对全球政府发起攻击,还会针对全球外贸单位或个人发起攻击,且某些攻击活动中邮件还会带有中文诱饵字样,可能存在针对国内的目标。


最新发现


研究人员在观察最新的Aggah活动后,发现了一个有趣的感染链和最终有效载荷的变化。


多阶段感染活动Aggah分发了一个恶意Microsoft Office文档,其中包含模糊的VBA宏代码。宏代码会调用OS命令,该命令将受害者重定向到hxxps://myownteammana.blogspot[.]com/p/otuego4thday[.]html上的恶意Blogspot。


此恶意页面包含一个JavaScript代码段,通过结合使用URL编码和字符串反转来进行模糊处理。该脚本旨在下载PasteBin上托管的下一个恶意程序,恶意程序旨在杀死Office套件进程并创建新的注册表项,以实现对受感染系统的持久性。

用于设置持久性的代码


此外,该脚本还会从Pastebin下载另外两个片段,第一个片段对应于“ Hackitup” DLL文件,而第二个片段是最终的有效负载。


最终恶意负载


研究人员观察到,2019年9月初,威胁行为者将AZORult作为其最终有效载荷,此后又将RevengeRAT作为其最终有效载荷部署,该RevengeRAT样本也可能与Gorgon组织有关。


根据Palo Alto Networks的说法,Gorgon Group也使用“ Aggah”感染链,但是其有效载荷不同。因此,Gorgon可能会将这个特定的AZORult版本添加到他们的武器库中,也许是为了检索有关其最初受害者的初步信息或提高他们的侦察能力。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧

广告

关注我们 查看更多精彩文章

css.php
正在加载中...