Higaisa APT

Higaisa APT (Advanced Persistent Threat) on hakkerointiryhmä, joka on todennäköisesti peräisin Korean niemimaalta. Higaisa hakkerointiryhmää tutkittiin ensimmäisen kerran laajasti vuonna 2019. Haittaohjelmaanalyytikot uskovat kuitenkin, että Higaisa APT aloitti toimintansa vuonna 2016, mutta on onnistunut välttämään kyberturvallisuuden asiantuntijoiden huomion vuoteen 2019 asti. Higaisa APT näyttää hyödyntävän molempia räätälöityjä hakkerointityökaluja sekä suosittuja julkisesti saatavilla olevia uhkia, kuten PlugX RAT (Remote Access Trojan) ja Gh0st RAT .

Higaisa-hakkerointiryhmä luottaa haittaohjelmien levittämiseen pääasiassa keihäänkalastelukampanjoihin. Tietoturvatutkijoiden mukaan yhdessä Higaisa APT:n uusimmista toiminnoista infektiovektorina käytettiin haitallisia .LNK-tiedostoja. Heidän viimeisimmän kampanjansa .LNK-tiedostot naamioitiin harmittomiksi tiedostoiksi, kuten koetuloksiksi, CV:ksi, työtarjoukseksi jne. Aiemmin tänä vuonna Higaisa-hakkerointiryhmä käytti COVID-19-aiheisia sähköposteja levittääkseen vioittuneita .LNK-tiedostoja kohteilleen.

Jos Higaisa APT huijaa käyttäjää ja avaa vioittuneen tiedoston, hän ei välttämättä huomaa mitään poikkeavaa. Tämä johtuu siitä, että tämä hakkerointiryhmä käyttää houkutustiedostoja, jotka pitävät käyttäjän huomion ja estävät heitä huomaamasta, että heidän järjestelmäänsä on rikottu. Haitallisessa .LNK-tiedostossa on luettelo komennoista, jotka se suorittaa äänettömästi taustalla. Komentoluettelo sallii uhan:

• Istuta sen tiedostot vaarantuneen isännän %APPDATA%-hakemistoon.
• Pura salaus ja pura tiedot LNK-tiedostosta.
• Istuta JavaScript-tiedosto tartunnan saaneen järjestelmän "Lataukset"-kansioon ja suorita se.

Seuraavaksi JavaScript-tiedosto varmistaa, että se suorittaa joukon komentoja, joiden avulla hyökkääjät voivat saada tietoja tartunnan saaneesta isännästä ja sen verkkoasetuksista. Seuraavaksi suoritetaan yksi tiedostoista, jotka purettiin haitallisesta .LNK-tiedostosta. Kyseinen JavaScript-tiedosto varmistaisi myös, että uhka pysyy isännässä, jotta se suoritettaisiin uudelleenkäynnistyksen yhteydessä.

Järjestelmän suojaamiseksi kyberhyökkäyksiä vastaan kannattaa investoida hyvämaineiseen, moderniin virustorjuntasovellukseen.