Higaisa APT
هیگایسا APT (تهدید مداوم پیشرفته) یک گروه هکری است که احتمالاً از شبه جزیره کره سرچشمه می گیرد. گروه هک Higaisa برای اولین بار در سال 2019 به طور گسترده مورد مطالعه قرار گرفت. با این حال، تحلیلگران بدافزار بر این باورند که Higaisa APT برای اولین بار در سال 2016 شروع به کار کرد اما تا سال 2019 موفق به جلب توجه متخصصان در زمینه امنیت سایبری شده است. به نظر می رسد APT Higaisa از هر دو استفاده می کند. ابزارهای هک سفارشی، و همچنین تهدیدات عمومی در دسترس عموم مانند PlugX RAT (تروجان دسترسی از راه دور) و Gh0st RAT .
گروه هک Higaisa بیشتر به کمپین های ایمیل فیشینگ برای توزیع بدافزار متکی است. به گفته محققان امنیتی، در یکی از آخرین عملیات Higaisa APT، ناقل عفونت مورد استفاده فایلهای مخرب .LNK بود. فایلهای LNK. از آخرین کمپین آنها به عنوان فایلهای بیضرر مانند نتایج امتحان، رزومه، پیشنهادهای شغلی و غیره پنهان شده بودند. در اوایل سال جاری، گروه هک Higaisa از ایمیلهای با مضمون COVID-19 برای انتشار فایلهای LNK آسیبدیده به اهداف خود استفاده کرد.
اگر کاربر توسط Higaisa APT فریب بخورد و فایل خراب را باز کند، ممکن است متوجه چیز غیرعادی نشود. این به این دلیل است که این گروه هک از فایلهای فریبنده استفاده میکند که توجه کاربر را حفظ میکند و مانع از آن میشود که متوجه نفوذ به سیستم خود شود. فایل مخرب .LNK دارای فهرستی از دستورات است که به صورت بی صدا در پس زمینه اجرا می شود. لیست فرمان به تهدید اجازه می دهد:
- فایل های آن را در دایرکتوری %APPDATA% روی میزبان در معرض خطر قرار دهید.
- داده ها را از فایل LNK رمزگشایی و از حالت فشرده خارج کنید.
- یک فایل جاوا اسکریپت را در پوشه "Downloads" سیستم آلوده قرار دهید و سپس آن را اجرا کنید.
در مرحله بعد، فایل جاوا اسکریپت مطمئن می شود که مجموعه ای از دستورات را اجرا می کند که به مهاجمان اجازه می دهد اطلاعات مربوط به میزبان آلوده و تنظیمات شبکه آن را به دست آورند. در مرحله بعد یکی از فایل هایی که از فایل مخرب .LNK باز شده است اجرا می شود. فایل جاوا اسکریپت مورد بحث همچنین اطمینان حاصل می کند که تهدید بر روی هاست ماندگار می شود تا پس از راه اندازی مجدد اجرا شود.
برای محافظت از سیستم خود در برابر حملات سایبری، توصیه می شود روی یک برنامه آنتی ویروس معتبر و مدرن سرمایه گذاری کنید.
