該組織通常旨在竊取目標(biāo)數(shù)據(jù),，最初被認(rèn)為與Gorgon Group有關(guān)聯(lián)：這是一個以瞄準(zhǔn)西方政府而聞名的巴基斯坦組織,。據(jù)Anomali稱,，這種關(guān)聯(lián)尚未得到證實,，但研究人員傾向于認(rèn)為這些說烏爾都語的群體起源于巴基斯坦,。

　　Aggah最新活動的目標(biāo)包括臺灣制造公司Fon-star International Technology,、臺灣工程公司FomoTech和韓國電力公司現(xiàn)代電氣（Hyundai Electric）,。

　　威脅行為者通常將全球制造商和其他供應(yīng)商作為攻擊目標(biāo),，不僅是為了攻擊他們,，還為了滲透到一些更知名的客戶,。比如在4月份，現(xiàn)已解散的REvil團(tuán)伙在蘋果大型產(chǎn)品發(fā)布活動之前成功部署了針對蘋果電腦的臺灣供應(yīng)商廣達(dá)（Quanta）的勒索軟件,。

　　REvil從Quanta竊取了文件,，其中包括一些Apple新產(chǎn)品的藍(lán)圖。運(yùn)營商威脅要泄露更多未發(fā)布產(chǎn)品的信息以迫使該公司在Apple Spring Loaded之前付款,。

　　利用受損的WordPress網(wǎng)站

　　研究人員表示,，最新的Aggah魚叉式網(wǎng)絡(luò)釣魚活動始于一封偽裝成“FoodHub.co.uk”的自定義電子郵件，這是一家位于英國的在線食品配送服務(wù)公司,。

　　電子郵件正文包括訂單和發(fā)貨信息,，以及一個名為“Purchase order 4500061977,pdf.ppam”的PowerPoint文件，其中包含混淆宏,，這些宏使用mshta.exe執(zhí)行來自已知的受感染網(wǎng)站mail.hoteloscar.in/images的JavaScript,。

　　他們說：“Hoteloscar.in是印度一家酒店的正式網(wǎng)站，該網(wǎng)站已被入侵以托管惡意腳本,?！薄霸谡麄€活動中，我們觀察到合法網(wǎng)站被用來托管惡意腳本,，其中大部分似乎是WordPress網(wǎng)站,，表明該組織可能利用了WordPress漏洞,。”

　　研究人員指出,，JavaScript使用反調(diào)試技術(shù),，例如setInterval，根據(jù)執(zhí)行時間檢測調(diào)試器的使用情況,。如果檢測到調(diào)試器,，這會將setInterval發(fā)送到一個無限循環(huán)中。在調(diào)試完成后,，腳本返回http://dlsc.af/wp-admin/buy/5[.]html,，這是另一個受損的一家阿富汗食品經(jīng)銷商的網(wǎng)站。

　　研究人員表示,，最終,，Javascript使用PowerShell加載十六進(jìn)制編碼的有效payload，最終的有效載荷是Warzone RAT,，這是一種基于C++的惡意軟件，可在暗網(wǎng)上購買,。

　　他們寫道：“Warzone是一種商品惡意軟件,，其破解版托管在GitHub上?！薄癛AT重用了來自Ave Maria竊取程序的代碼,。”Warzone RAT的功能包括權(quán)限提升,、鍵盤記錄,；遠(yuǎn)程shell、下載和執(zhí)行文件,、文件管理器和網(wǎng)絡(luò)持久性,。“

　　”為了繞過用戶帳戶控制（UAC）,，Windows Defender路徑被添加到PowerShell命令中以繞過它,。“”Warzone中的權(quán)限升級是使用sdclt.exe執(zhí)行的,，sdclt.exe是Windows 10中的Windows備份實用程序,。“

　　Anomali團(tuán)隊注意到Aggah在攻擊中使用的許多策略證明了這個組織的威脅性,，這些策略包括：使用包含宏的惡意文檔和惡意PowerPoint文件,；PowerShell文件中的混淆有效payload，通常是十六進(jìn)制編碼的,；使用嵌入網(wǎng)站的腳本,；訂單和支付信息的主題,；以及上述在目標(biāo)行業(yè)內(nèi)使用偽造B2B電子郵件地址。