Higaisa APT

Higaisa APT (Advanced Persistent Threat) on häkkimisrühmitus, mis pärineb tõenäoliselt Korea poolsaarelt. Higaisa häkkimisgruppi uuriti esmakordselt põhjalikult 2019. aastal. Pahavaraanalüütikud usuvad aga, et Higaisa APT alustas tegevust 2016. aastal, kuid on suutnud vältida küberturvalisuse ekspertide tähelepanu äratamist kuni 2019. aastani. Higaisa APT näib kasutavat mõlemat eritellimusel valmistatud häkkimistööriistad, aga ka populaarsed avalikult kättesaadavad ohud, nagu PlugX RAT (kaugjuurdepääsu troojalane) ja Gh0st RAT .

Higaisa häkkimisrühm kipub pahavara levitamiseks toetuma peamiselt õngepüügi e-posti kampaaniatele. Turvateadlaste sõnul oli Higaisa APT ühes viimases operatsioonis kasutatud nakkusvektoriks pahatahtlikud .LNK-failid. Viimase kampaania .LNK-failid maskeeriti kahjutute failidena, nagu eksamitulemused, CV-d, tööpakkumised jne. Selle aasta alguses kasutas Higaisa häkkimisrühm COVID-19-teemalisi e-kirju, et levitada rikutud .LNK-faile oma sihtmärkidele.

Kui kasutaja saab Higaisa APT-lt petta ja avab rikutud faili, ei pruugi ta midagi ebatavalist märgata. Selle põhjuseks on asjaolu, et see häkkimisrühm kasutab peibutusfaile, mis hoiavad kasutaja tähelepanu ja ei lase neil märgata, et nende süsteemi on rikutud. Pahatahtlikul .LNK-failil on käskude loend, mida see taustal vaikselt käivitab. Käsuloend lubab ohul:

• Istutage selle failid ohustatud hosti kataloogi %APPDATA%.
• LNK-faili andmed dekrüpteerida ja lahti pakkida.
• Istutage JavaScripti fail nakatunud süsteemi kausta Allalaadimised ja seejärel käivitage see.

Järgmisena kontrollib JavaScripti fail, et see käivitaks käskude komplekti, mis võimaldaks ründajatel hankida andmeid nakatunud hosti ja selle võrguseadete kohta. Järgmisena käivitatakse üks pahatahtlikust .LNK-failist lahti pakitud failidest. Kõnealune JavaScripti fail tagab ka selle, et oht püsiks hostis, nii et see käivitataks taaskäivitamisel.

Süsteemi küberrünnakute eest kaitsmiseks on soovitatav investeerida mainekasse ja kaasaegsesse viirusetõrjerakendusse.