Higaisa APT

ה-Higaisa APT (Advanced Persistent Threat) היא קבוצת פריצה, שמקורה ככל הנראה מחצי האי הקוריאני. קבוצת הפריצה Higaisa נחקרה לראשונה בהרחבה בשנת 2019. עם זאת, אנליסטים של תוכנות זדוניות מאמינות כי Higaisa APT החל לפעול לראשונה בשנת 2016 אך הצליח להימנע מלמשוך את תשומת לבם של מומחים בתחום אבטחת הסייבר עד 2019. נראה כי Higaisa APT משתמש בשניהם כלי פריצה מותאמים אישית, כמו גם איומים פופולריים הזמינים לציבור כמו PlugX RAT (Trojan Access Remote) ו- Gh0st RAT .

קבוצת הפריצה של Higaisa נוטה להסתמך בעיקר על קמפיינים דוא"ל דיוג חנית כדי להפיץ תוכנות זדוניות. לדברי חוקרי אבטחה, באחת הפעולות האחרונות של Higaisa APT, וקטור ההדבקה בו נעשה שימוש היה קבצי .LNK זדוניים. קבצי ה-.LNK מהקמפיין האחרון שלהם היו מוסווים כקבצים לא מזיקים כגון תוצאות בחינות, קורות חיים, הצעות עבודה וכו'. מוקדם יותר השנה, קבוצת הפריצה Higaisa השתמשה באימיילים בנושא COVID-19 כדי להפיץ קבצי .LNK פגומים ליעדים שלהם.

אם ה-Higaisa APT מרמה את המשתמש ופותח את הקובץ הפגום, ייתכן שהוא לא יבחין בשום דבר חריג. הסיבה לכך היא שקבוצת הפריצה הזו משתמשת בקבצי פיתוי שישמרו על תשומת הלב של המשתמש וימנעו ממנו לשים לב שהמערכת שלהם נפרצה. לקובץ .LNK הזדוני יש רשימה של פקודות, אותן הוא יבצע בשקט ברקע. רשימת הפקודות תאפשר לאיום:

• שתלו את הקבצים שלו בספריית %APPDATA% על המארח שנפרץ.
• פענח ושחרר את הנתונים מקובץ LNK.
• שתלו קובץ JavaScript בתיקיית 'הורדות' של המערכת הנגועה ואז הפעל אותו.

לאחר מכן, קובץ ה-JavaScript יוודא שהוא מריץ קבוצה של פקודות, שיאפשרו לתוקפים להשיג נתונים לגבי המארח הנגוע והגדרות הרשת שלו. לאחר מכן, אחד הקבצים, אשר פורקו מקובץ ה-.LNK הזדוני יבוצע. קובץ ה-JavaScript המדובר יוודא גם שהאיום יקבל התמדה על המארח כך שהוא יתבצע עם אתחול מחדש.

כדי להגן על המערכת שלכם מפני התקפות סייבר, מומלץ להשקיע באפליקציית אנטי-וירוס מוכרת ומודרנית.