Higaisa APT
Higaisa APT (التهديد المستمر المتقدم) هي مجموعة قرصنة ، من المحتمل أن تنشأ من شبه الجزيرة الكورية. تمت دراسة مجموعة Higaisa للقرصنة لأول مرة على نطاق واسع في عام 2019. ومع ذلك ، يعتقد محللو البرامج الضارة أن Higaisa APT بدأت العمل لأول مرة في عام 2016 لكنها تمكنت من تجنب جذب انتباه الخبراء في مجال الأمن السيبراني حتى عام 2019. ويبدو أن Higaisa APT تستخدم كليهما أدوات قرصنة مخصصة ، بالإضافة إلى التهديدات الشائعة المتاحة للجمهور مثل PlugX RAT (حصان طروادة للوصول عن بُعد) و Gh0st RAT .
تميل مجموعة Higaisa للقرصنة إلى الاعتماد بشكل أساسي على حملات التصيد الاحتيالي عبر البريد الإلكتروني لتوزيع البرامج الضارة. وفقًا للباحثين الأمنيين ، في واحدة من أحدث عمليات Higaisa APT ، كان ناقل العدوى المستخدم عبارة عن ملفات .LNK ضارة. تم إخفاء ملفات .LNK من حملتهم الأخيرة كملفات غير ضارة مثل نتائج الامتحانات والسير الذاتية وعروض العمل وما إلى ذلك. في وقت سابق من هذا العام ، استخدمت مجموعة Higaisa للقرصنة رسائل بريد إلكتروني ذات سمة COVID-19 لنشر ملفات .LNK التالفة إلى أهدافها.
إذا تم خداع Higaisa APT للمستخدم وفتح الملف التالف ، فقد لا يلاحظ أي شيء خارج عن المألوف. هذا لأن مجموعة القرصنة هذه تستخدم ملفات خادعة تجذب انتباه المستخدم وتمنعهم من ملاحظة اختراق نظامهم. يحتوي ملف .LNK الضار على قائمة بالأوامر التي سيتم تنفيذها بصمت في الخلفية. ستسمح قائمة الأوامر للتهديد بما يلي:
- قم بزرع ملفاته في دليل٪ APPDATA٪ على المضيف المخترق.
- فك تشفير البيانات من ملف LNK وفك ضغطها.
- قم بزرع ملف JavaScript في مجلد "التنزيلات" للنظام المصاب ثم قم بتنفيذه.
بعد ذلك ، سيتأكد ملف JavaScript من أنه يقوم بتشغيل مجموعة من الأوامر ، والتي من شأنها أن تسمح للمهاجمين بالحصول على البيانات المتعلقة بالمضيف المصاب وإعدادات الشبكة الخاصة به. بعد ذلك ، سيتم تنفيذ أحد الملفات التي تم فك حزمها من ملف .LNK الضار. سيضمن ملف JavaScript المعني أيضًا استمرار التهديد على المضيف بحيث يتم تنفيذه عند إعادة التشغيل.
لحماية نظامك من الهجمات السيبرانية ، يُنصح بالاستثمار في تطبيق مضاد للحوادث يتمتع بسمعة طيبة وحديث.
