نوشته‌ها

سوء استفاده از سایت های وردپرس در کمپین فیشینگ Aggah

 

کمپین مهاجمین مرتبط با پاکستان از سایت های وردپرس در معرض خطر برای ارائه RAT Warzone به شرکت های تولید کننده در تایوان و کره جنوبی استفاده می کند.

 

محققان دریافتند که هکرها از وب سایت های وردپرس به خطر افتاده برای هدف قرار دادن تولیدکنندگان در سراسر آسیا با یک کمپین جدید فیشینگ استفاده می کنند که Warzone RAT را ارائه می دهد.

بر اساس تحقیقات جدید شرکت امنیت شناسایی و واکنش تهدید Anomali ، گروه تهدید Aggah ، که تصورمی شود وابسته به پاکستان است و برای اولین بار در مارس 2019 شناسایی شد ، RAT را در کمپینی با هدف انتشار بدافزار به شرکت های تولید کننده در تایوان و کره جنوبی ارائه می دهد.

به گفته محققان ، این کمپین ، که در اوایل ماه ژوئیه آغاز شد ، از آدرس های ایمیل جعلی استفاده می کند که ظاهراً از مشتریان قانونی تولیدکنندگان نشأت می گیرد و نشان می دهد که کار Aggah بوده است.

تارا گولد و روری گولد از Anomali Threat Research در گزارشی در مورد این کمپین که منتشر شد ، نوشتند: “آدرس های ایمیل جعلی کسب و کار (B2B) در برابر صنعت مورد نظر با Aggah مطابقت دارد.”

محققان واحد 42 شبکه Palo Alto برای اولین بار Aggah را در مارس 2019 در کمپینی با هدف هدف قرار دادن اشخاص در امارات متحده عربی کشف کردند که بعداً به عنوان یک کمپین فیشینگ جهانی برای ارائه RevengeRAT شناخته شد.

تصور می شد که این گروه که معمولاً سرقت اطلاعات از اهداف را انجام می دهد ، با گروه گرگان ارتباط داشته باشد: یک گروه پاکستانی که به هدف قرار دادن دولت های غربی معروف است. به گفته Anomali ، این ارتباط ثابت نشده است ، اما محققان متفق القول هستند که گروه اردو زبان از پاکستان سرچشمه گرفته است.

از جمله اهداف آخرین کمپین Aggah ، Fon-star International Technology ، یک شرکت تولیدی مستقر در تایوان بود. FomoTech ، یک شرکت مهندسی تایوانی ؛ و هیوندای الکتریک ، یک شرکت برق کره ای.

هکرها اغلب تولید کنندگان جهانی و سایر تأمین کنندگان را نه تنها برای هدف قرار دادن آنها ، بلکه به عنوان راهی برای نفوذ به برخی از مشتریان برجسته تر خود هدف قرار می دهند. نمونه ای از این امر در ماه آوریل زمانی مشاهده شد که باند REvil که اکنون منقرض شده ، با موفقیت باج افزاری را علیه Quanta ، تأمین کننده تایوانی رایانه Apple ، درست پیش از رویداد بزرگ معرفی محصول اپل ، مستقر کرد.

REvil پرونده هایی را از Quanta سرقت کرد که شامل نقشه هایی برای برخی از محصولات جدید اپل بود.