Licenser til flere enheder (volumenrabatter)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Med GoldSparrow i Advanced Persistent Threat (APT)
Oversæt til:
Dansk

Higaisa APT (Advanced Persistent Threat) er en hackergruppe, som sandsynligvis stammer fra den koreanske halvø. Higaisa-hacking-gruppen blev først undersøgt grundigt i 2019. Men malware-analytikere mener, at Higaisa APT først begyndte at fungere i 2016, men at det er lykkedes at undgå at tiltrække opmærksomhed fra eksperter inden for cybersikkerhed indtil 2019. Higaisa APT ser ud til at bruge både skræddersyede hackingværktøjer samt populære offentligt tilgængelige trusler som PlugX RAT (Remote Access Trojan) og Gh0st RAT.

Higaisa-hackinggruppen har en tendens til hovedsageligt at stole på spear-phishing-e-mail-kampagner for at distribuere malware. Ifølge sikkerhedsforskere, i en af de seneste operationer af Higaisa APT, var infektionsvektoren, der blev brugt, ondsindede .LNK-filer. .LNK-filerne fra deres seneste kampagne blev maskeret som harmløse filer såsom eksamensresultater, CV'er, jobtilbud osv. Tidligere på året brugte Higaisa-hackergruppen e-mails med COVID-19-tema til at udbrede korrupte .LNK-filer til deres mål.

Hvis brugeren bliver narret af Higaisa APT og åbner den beskadigede fil, bemærker de muligvis ikke noget ud over det sædvanlige. Dette skyldes, at denne hackergruppe bruger lokkefiler, der vil holde brugerens opmærksomhed og forhindre dem i at bemærke, at deres system er blevet brudt. Den ondsindede .LNK-fil har en liste over kommandoer, som den vil udføre lydløst i baggrunden. Kommandolisten vil tillade truslen at:

  • Plant dens filer i mappen %APPDATA% på den kompromitterede vært.
  • Dekrypter og dekomprimer dataene fra LNK-filen.
  • Plant en JavaScript-fil i mappen 'Downloads' i det inficerede system, og kør den derefter.

Dernæst vil JavaScript-filen sørge for, at den kører et sæt kommandoer, som vil gøre det muligt for angriberne at få data vedrørende den inficerede vært og dens netværksindstillinger. Dernæst vil en af filerne, som blev pakket ud fra den skadelige .LNK-fil, blive udført. Den pågældende JavaScript-fil vil også sørge for, at truslen bliver ved med at være på værten, så den vil blive eksekveret ved genstart.

For at beskytte dit system mod cyberangreb er det tilrådeligt at investere i et velrenommeret, moderne antivirusprogram.

Trending

Mest sete

Indlæser...