該組織通常旨在竊取目標(biāo)數(shù)據(jù),，最初被認(rèn)為與Gorgon Group有關(guān)聯(lián)：這是一個(gè)以瞄準(zhǔn)西方政府而聞名的巴基斯坦組織,。據(jù)Anomali稱，這種關(guān)聯(lián)尚未得到證實(shí),，但研究人員傾向于認(rèn)為這些說烏爾都語的群體起源于巴基斯坦,。

　　Aggah最新活動(dòng)的目標(biāo)包括臺(tái)灣制造公司Fon-star International Technology、臺(tái)灣工程公司FomoTech和韓國電力公司現(xiàn)代電氣（Hyundai Electric）,。

　　威脅行為者通常將全球制造商和其他供應(yīng)商作為攻擊目標(biāo),，不僅是為了攻擊他們，還為了滲透到一些更知名的客戶,。比如在4月份,，現(xiàn)已解散的REvil團(tuán)伙在蘋果大型產(chǎn)品發(fā)布活動(dòng)之前成功部署了針對(duì)蘋果電腦的臺(tái)灣供應(yīng)商廣達(dá)（Quanta）的勒索軟件。

　　REvil從Quanta竊取了文件,，其中包括一些Apple新產(chǎn)品的藍(lán)圖,。運(yùn)營商威脅要泄露更多未發(fā)布產(chǎn)品的信息以迫使該公司在Apple Spring Loaded之前付款。

　　利用受損的WordPress網(wǎng)站

　　研究人員表示,，最新的Aggah魚叉式網(wǎng)絡(luò)釣魚活動(dòng)始于一封偽裝成“FoodHub.co.uk”的自定義電子郵件,，這是一家位于英國的在線食品配送服務(wù)公司。

　　電子郵件正文包括訂單和發(fā)貨信息,，以及一個(gè)名為“Purchase order 4500061977,pdf.ppam”的PowerPoint文件,，其中包含混淆宏，這些宏使用mshta.exe執(zhí)行來自已知的受感染網(wǎng)站mail.hoteloscar.in/images的JavaScript,。

　　他們說：“Hoteloscar.in是印度一家酒店的正式網(wǎng)站,，該網(wǎng)站已被入侵以托管惡意腳本?！薄霸谡麄€(gè)活動(dòng)中,，我們觀察到合法網(wǎng)站被用來托管惡意腳本，其中大部分似乎是WordPress網(wǎng)站,，表明該組織可能利用了WordPress漏洞。”

　　研究人員指出,，JavaScript使用反調(diào)試技術(shù),，例如setInterval，根據(jù)執(zhí)行時(shí)間檢測(cè)調(diào)試器的使用情況,。如果檢測(cè)到調(diào)試器,，這會(huì)將setInterval發(fā)送到一個(gè)無限循環(huán)中。在調(diào)試完成后,，腳本返回http://dlsc.af/wp-admin/buy/5[.]html,，這是另一個(gè)受損的一家阿富汗食品經(jīng)銷商的網(wǎng)站。

　　研究人員表示,，最終,，Javascript使用PowerShell加載十六進(jìn)制編碼的有效payload，最終的有效載荷是Warzone RAT,，這是一種基于C++的惡意軟件,，可在暗網(wǎng)上購買。

　　他們寫道：“Warzone是一種商品惡意軟件,，其破解版托管在GitHub上,。”“RAT重用了來自Ave Maria竊取程序的代碼,?！盬arzone RAT的功能包括權(quán)限提升、鍵盤記錄,；遠(yuǎn)程shell,、下載和執(zhí)行文件、文件管理器和網(wǎng)絡(luò)持久性,?！?/p>

　　”為了繞過用戶帳戶控制（UAC），Windows Defender路徑被添加到PowerShell命令中以繞過它,?！啊盬arzone中的權(quán)限升級(jí)是使用sdclt.exe執(zhí)行的，sdclt.exe是Windows 10中的Windows備份實(shí)用程序,?！?/p>

　　Anomali團(tuán)隊(duì)注意到Aggah在攻擊中使用的許多策略證明了這個(gè)組織的威脅性，這些策略包括：使用包含宏的惡意文檔和惡意PowerPoint文件,；PowerShell文件中的混淆有效payload,，通常是十六進(jìn)制編碼的；使用嵌入網(wǎng)站的腳本,；訂單和支付信息的主題,；以及上述在目標(biāo)行業(yè)內(nèi)使用偽造B2B電子郵件地址,。