# Aggah Group > [!warning] Aggah/Hagga - Crimeware Modular de Alto Volume com Ligacoes LATAM > **Aggah** (também conhecido como Hagga) e um grupo de crimeware prolífico ativo desde 2018, identificado pela Unit 42 da Palo Alto Networks. O grupo e conhecido por sua cadeia de infecção **altamente modularizada**, uso extensivo de infraestrutura pública gratuita (Pastebin, Blogspot, Archive.org) para hospedar payloads, e distribuição de uma ampla variedade de RATs (NanoCore, njRAT, AsyncRAT, Agent Tesla, Remcos). Campanhas similares foram detectadas **no Brasil e LATAM** em 2024, usando a mesma infraestrutura do crypter 3losh rat. ## Visão Geral **Aggah** foi documentado pela primeira vez pela Unit 42 em marco de 2019 quando pesquisadores observaram campanhas de malspam direcionadas ao Oriente Medio. O nome "Aggah" deriva da string "hagga" usada nos primeiros payloads do grupo para separar informações no C2 - o mesmo nome de uma conta Pastebin usada para hospedar os payloads. O grupo se destaca por algumas caracteristicas operacionais distintivas: **Infraestrutura pública como C2:** - Usa Pastebin, Blogspot, Archive.org e Bitly para hospedar scripts e payloads de múltiplos estagios - Cada estagio da cadeia de infecção busca o proximo payload de um servico público diferente - Isso dificulta o bloqueio por proxies e firewalls corporativos que whitelist esses servicos - O grupo usa contas Pastebin PRO para modificar payloads remotamente sem recompilacao **Cadeia de infecção modular:** 1. Email de malspam com documento Office malicioso (macro VBA/XLSM) 2. Macro executa MSHTA para buscar script VBScript de segundo estagio no Pastebin 3. VBScript desabilita AV (AMSI bypass), cria tarefa agendada persistente 4. Script de terceiro estagio injeta payload RAT em processo legitimo via process hollowing 5. RAT (NanoCore, njRAT, AsyncRAT etc.) estabelece acesso remoto persistente **Perfil de alvo:** o grupo parece motivado financeiramente e pode operar como **mercenário** - vendendo acesso ou servicos de campanhas a terceiros. Pesquisas identificaram que o grupo pode ter fornecido TTPs e tools ao crypter "3losh rat", que foi usado em campanhas separadas contra organizacoes na América Latina em 2024. **Conexão com Gorgon Group:** pesquisas iniciais suspeitaram de ligacao com o Gorgon Group (Paquistao), dado similaridade de TTPs e uso de Revenge RAT. Sem confirmacao definitiva até o momento. ```mermaid graph TB A["Email Malspam<br/>Documento Office com macro<br/>T1566.001 - Malicious File"] --> B["Macro VBA/XLSM<br/>MSHTA executa Estagio 2<br/>T1218.005 - Mshta"] B --> C["VBScript Estagio 2<br/>AMSI bypass + AV disable<br/>T1562.001 - T1059.005"] C --> D["Script Estagio 3<br/>Tarefa agendada persistente<br/>T1053.005 - Scheduled Task"] D --> E["Process Hollowing<br/>Injecao em processo legitimo<br/>T1055 - Process Injection"] E --> F["RAT Ativo<br/>NanoCore / njRAT / AsyncRAT<br/>T1041 - Acesso remoto persistente"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#196f3d,color:#fff style F fill:#6c3483,color:#fff ``` ## Campanhas Documentadas ### Campanha Global de Malspam - 2020 (Cisco Talos) A campanha mais extensa documentada pelo Cisco Talos em 2020: - Distribuição de múltiplos RATs via documentos maliciosos em campanhas de email - Infraestrutura: múltiplas contas Pastebin incluindo a conta PRO "alphabets3" (antes "hagga") - RATs distribuidos: Agent Tesla, njRAT, NanoCore RAT, Remcos RAT - Alcance global: alvos na Europa, Oriente Medio, EUA e Asia - Inovacao nesta campanha: uso de múltiplas contas Pastebin para diferentes estagios (modularizacao adicional) - Uso de .NET binaries customizados para desabilitar AMSI e protecoes de endpoint ### Campanha LATAM via Crypter 3losh - 2024 Cisco Talos detectou campanhas na América Latina usando a mesma infraestrutura: - Alvos em paises da América Latina no setor de viagens e hospitalidade - Uso do crypter "3losh rat" - mesma ferramenta observada em campanhas Aggah - Entrega de njRAT e AsyncRAT via documentos Office com macros - Diferenca: campanhas LATAM usaram sites comprometidos para hospedar componentes (vs. servicos públicos usados pelo Aggah original) - Indica que o crypter 3losh foi vendido ou disponibilizado a atores na regiao ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0336-nanocore\|NanoCore RAT]] | RAT | Acesso remoto completo - keylogging, capturas de tela, webcam | | [[s0385-njrat\|njRAT]] | RAT | Acesso remoto, roubo de credenciais, propagação via USB | | [[s1087-asyncrat\|AsyncRAT]] | RAT | C2 cifrado, keylogging, upload/download, AV evasion | | [[s0331-agent-tesla\|Agent Tesla]] | Infostealer/RAT | Roubo de senhas de browsers, email, FTP, VPN | | [[s0332-remcos\|Remcos RAT]] | RAT | Gravacao de audio/video, keylogging, shell reverso | | [[warzone-rat\|WarzoneRAT]] | RAT | Gerenciamento de processos, privesc, persistence | | [[revengerrat\|RevengeRAT]] | RAT | Ferramenta inicial da campanha 2019, acesso remoto básico | | 3losh crypter | Crypter/Builder | Gerador de artifacts de infecção - vendido a terceiros | ## Timeline ```mermaid timeline title Aggah (Hagga) - Linha do Tempo 2018 : Primeiras atividades suspeitas identificadas 2019-03 : Unit 42 documenta o grupo Aggah/Hagga : Campanha inicial contra Oriente Medio : RevengeRAT como payload principal 2020 : Cisco Talos documenta campanha upgradada : Multiplas contas Pastebin - modularizacao : Expansao de arsenal - NanoCore, njRAT, AsyncRAT 2021-2023 : Operacoes continuas - novas campanhas : Conexão com crypter 3losh identificada 2024 : Campanhas LATAM detectadas pelo Talos : 3losh crypter usado por atores brasileiros 2026 : Atividade continua - infeccoes observadas globalmente ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office maliciosos via malspam | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Macros VBA/XLSM executam cadeia de infecção | | Execution | Mshta | [[t1218.005-mshta\|T1218.005]] | MSHTA executa VBScript para buscar proximos estagios | | Defense Evasion | Disable or Modify Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | Desabilita AMSI e AV antes de injetar payload | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Scripts e payloads ofuscados para evasão | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Cria tarefa agendada para ativacao do RAT | | Defense Evasion | Process Injection | [[t1055-process-injection\|T1055]] | Process hollowing para injetar RAT em processo legitimo | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Dados exfiltrados via canal C2 do RAT | ## Relevância para o Brasil e LATAM > [!warning] Risco Direto - Campanhas com 3losh Crypter já Atingiram LATAM em 2024 > O Cisco Talos confirmou em 2024 campanhas contra organizacoes na América Latina usando a mesma infraestrutura e TTPs do Aggah Group. O setor de **viagens e hospitalidade** foi alvo principal, mas a cadeia de infecção e generica o suficiente para atingir qualquer organização com usuarios de Windows e email corporativo. O Brasil, com alto volume de usuarios do Microsoft Office e cultura de abrir anexos de email, e vulnerável a este vetor. **Setores de risco no Brasil:** - **Viagens e hospitalidade**: alvo confirmado nas campanhas LATAM de 2024 - **PMEs** (pequenas e medias empresas): menor investimento em segurança, maior exposicao a malspam - **Setor financeiro**: Agent Tesla e njRAT sao específicamente projetados para roubar credenciais bancarias e de email - **Saúde**: NanoCore permite acesso completo a sistemas medicos - LGPD e HIPAA compliance risk **Indicadores de comprometimento:** - Documentos Office com macros recebidos por email de remetentes desconhecidos - MSHTA executando scripts de URLs do Pastebin ou Archive.org - Criação de tarefas agendadas apontando para scripts VBScript suspeitos - Conexoes saindo de `calc.exe`, `notepad.exe` ou outros processos legitimos para IPs externos ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | `mshta.exe` executando script de URL externa | EDR: alert para mshta com argumento de URL remota | | Processo legitimo (calc.exe, notepad.exe) fazendo conexão de rede | EDR: processo hollowing detection - network from unexpected process | | `schtasks.exe /create` com argumento apontando para script VBS | SIEM: Windows Event 4688 + cmdline com schtasks /create suspeito | | Comúnicação com dominio Pastebin/Archive.org de host corporativo | Proxy: monitorar download de scripts/payloads de servicos de texto público | | AMSI bypass patterns (reflection, obfuscated disable) em PowerShell | SIEM/EDR: Sigma rule para AMSI bypass via reflection | | Binario .NET executando inline no PowerShell com ofuscacao | EDR: detecção de payload .NET inline suspeito em PowerShell | ## Referências - [1](https://unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/) Unit 42 - Aggah Campaign: Bit.ly, Blogspot and Pastebin Used for C2 (Mar 2019) - [2](https://blog.talosintelligence.com/upgraded-aggah-malspam-campaign/) Cisco Talos - Upgraded Aggah Malspam Campaign (2020) - [3](https://blog.talosintelligence.com/rat-campaign-targets-latin-america/) Cisco Talos - RAT Campaign Targets Latin América (Aggah Connection) (2024) - [4](https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-EN/) QiAnXin - Subgroup of Blind Eagle? Analysis of Hagga Group (2023) - [5](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Aggah) ETDA Threat Actor Cards - Aggah (2023) **Atores relacionados:** [[g0078-gorgon-group|Gorgon Group]] · [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] · [[g0032-lazarus-group|Lazarus Group]] **Malware e ferramentas:** [[s0336-nanocore|NanoCore RAT]] · [[s0385-njrat|njRAT]] · [[s1087-asyncrat|AsyncRAT]] · [[s0331-agent-tesla|Agent Tesla]] · [[s0332-remcos|Remcos RAT]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1218.005-mshta|T1218.005]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1055-process-injection|T1055]] · [[t1053-005-scheduled-task|T1053.005]] **Setores alvejados:** [[financial|Financeiro]] · [[manufacturing|Manufatura]] · [[healthcare|Saúde]] · [[technology|Tecnologia]]