พบการโจมตี Aggah Spear-Phishing Campaign ผ่านเว็บไซต์ WordPress

ทีมนักวิจัยด้านความปลอดภัยจาก Anomali ได้พบการโจมตีบนผ่านเว็บไซต์ที่สร้างด้วย WordPress ซึ่งคาดว่าเป็นฝีมือของกลุ่ม Aggah จากปากีสถาน

เป้าหมายการโจมตีครั้งนี้อยู่ที่บริษัทยักษ์ใหญ่หลายๆ รายในประเทศไต้หวันและประเทศเกาหลีใต้ โดยแฮกเกอร์จะทำการแพร่กระจายมัลแวร์ Warzone RAT ผ่านเว็บไซต์ WordPress ที่แฮกมาได้ จากนั้นจะทำการส่งอีเมลปลอม เช่น “FoodHub.co.uk” ในเนื้อหาอีเมลประกอบด้วยข้อมูลการสั่งซื้อ และแนบไฟล์ Power Point ที่ที่ชื่อว่า “Purchase order 4500061977,pdf.ppam” ภายในจะประกอบไปด้วยไฟล์ JavaScript จากเว็บ mail.hoteloscar.in/images /5[.]html ซึ่งเป็นเว็บที่ถูกแฮก

และจากการตรวจสอบลึกลงไปอีกนักวิจัยได้พบว่า Javascript จะใช้ PowerShell เพื่อโหลด payloads ที่เข้ารหัสแบบ hex โดย payload ที่ดีที่สุดคือ Warzone RAT ซึ่งเป็นมัลแวร์ที่ใช้ C++ ซึ่งหาซื้อได้บนเว็บมืด
การโจมตีเริ่มขึ้นเมื่อต้นเดือนกรกฎาคมที่ผ่านมาซึ่งในตอนแรกคิดว่าเป็นฝีมือของกลุ่มอาร์กอนที่อยู่ในปากีสถานเช่นเดียวกัน แต่ทางทีมนักวิจัยได้สังเกตและพิสูจน์ได้ว่าวิธีการที่ใช้นั้นเป็นฝีมือของกลุ่ม Aggah

กลุ่มแฮกเกอร์พยายามหาช่องทางทุกอย่างเท่าที่จะทำได้ เพื่อพยายามขโมยข้อมูลที่สำคัญๆ ไป ดังนั้น เพื่อเป็นการป้องกัน หากได้รับจดหมายที่มีไฟล์แนบ และมาจากแหล่งที่ไม่รู้จัก หรือไม่น่าเชื่อถือ อย่าเปิดเด็ดขาด ไม่งั้นคุณอาจตกเป็นเหยือของแฮกเกอร์เหล่านี้ได้

ที่มา: Threat Post