Beveiligingsonderzoekers van Unit 42 van Palo Alto Networks hebben ontdekt dat de Aggah-campagne Bit.ly, BlogSpot en Pastebin gebruikt om varianten van de RevengeRAT-malware te verspreiden. RevengeRAT is een remote access tool.
Volgens de onderzoekers begon de Aggah-campagne met een e-mail die op 27 maart verstuurd werd, schrijft Security Intelligence. De e-mail leek te komen van een groot financieel bedrijf en vertelde ontvangers dat hun account versleuteld was.
De e-mail bevatte ook een malafide Word-document, dat probeerde om een Object Linking and Embedding (OLE) document te laden via template injection. Het OLE-document bevatte een macro dat een Bit.ly die naar een BlogSpot-bericht linkte decodeerde en uitvoerde. Vervolgens gebruikte het bericht weer Pastebin-berichten om extra scripts te downloaden, die op hun beurt een variant van de RevengeRAT-malware downloadt.
RevengeRAT
RevengeRAT werd in juni 2016 voor het eerst door een Arabisch sprekende malware-maker verspreidt op ondergrondse forums. De malware kostte toen niets. De maker bracht twee maanden later een geavanceerdere versie van de malware uit. Sindsdien hebben onderzoekers meerdere campagnes gedetecteerd rondom de remote access tool.
RSA zag bijvoorbeeld een campagne in oktober 2017, waarbij malspam gebruikt werd om de malware af te leveren. Cofense ontdekte in februari dit jaar een aanval die ook BlogSpot-berichten en Pastebin gebruikte om gebruikers te infecteren met RevengeRAT.
De nieuwe Aggah-campagne richt zich op diverse landen. In eerste instantie constateerde Palo Alto Networks dat de Aggah-campagne twee landen in het Midden-Oosten als doelwit had. In latere analyses bleek echter dat de campagne veel groter is en zeker tien branches in de Verenigde Staten, Europa en Azië op het oog heeft.
Bescherming
Voor beveiligingsprofessionals is het mogelijk om hun organisaties te beschermen tegen campagnes als de Aggah-campagne. Dit kan door ahead-of-threat-detection te gebruiken. Deze methode helpt beveiligingsteams bij het detecteren van mogelijk malafide domeinen, voordat cybercriminelen ze gebruiken in hun aanvalscampagnes.
Verder wordt aangeraden om VBA editor en andere tools te gebruiken om PDF’s, Microsoft Office-documenten en andere bijlagen in e-mails te controleren op malafide macro’s.
3 uur geleden
