Higaisa APT
हिगाइसा एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) एक हैकिंग समूह है, जिसकी उत्पत्ति संभवतः कोरियाई प्रायद्वीप से हुई है। Higaisa हैकिंग समूह का पहली बार 2019 में बड़े पैमाने पर अध्ययन किया गया था। हालांकि, मैलवेयर विश्लेषकों का मानना है कि Higaisa APT ने पहली बार 2016 में काम करना शुरू किया, लेकिन 2019 तक साइबर सुरक्षा के क्षेत्र में विशेषज्ञों का ध्यान आकर्षित करने से बचने में कामयाब रहा। Higaisa APT दोनों का उपयोग करता प्रतीत होता है। कस्टम निर्मित उपकरणों, साथ ही जैसे लोकप्रिय सार्वजनिक रूप से उपलब्ध खतरों हैकिंग PlugX RAT (रिमोट एक्सेस ट्रोजन) और Gh0st RAT ।
Higaisa हैकिंग समूह मुख्य रूप से मैलवेयर वितरित करने के लिए स्पीयर-फ़िशिंग ईमेल अभियानों पर निर्भर करता है। सुरक्षा शोधकर्ताओं के अनुसार, हिगैसा एपीटी के नवीनतम ऑपरेशनों में से एक में, उपयोग किए गए संक्रमण वेक्टर दुर्भावनापूर्ण .LNK फाइलें थीं। उनके नवीनतम अभियान की .LNK फ़ाइलों को परीक्षा परिणाम, CVs, नौकरी की पेशकश आदि जैसी हानिरहित फ़ाइलों के रूप में छुपाया गया था। इस वर्ष की शुरुआत में, Higaisa हैकिंग समूह ने दूषित .LNK फ़ाइलों को अपने लक्ष्य तक फैलाने के लिए COVID-19-थीम वाले ईमेल का उपयोग किया था।
यदि उपयोगकर्ता को Higaisa APT द्वारा बरगलाया जाता है और दूषित फ़ाइल को खोलता है, तो हो सकता है कि वे कुछ भी असामान्य न देखें। ऐसा इसलिए है क्योंकि यह हैकिंग समूह नकली फाइलों का उपयोग करता है जो उपयोगकर्ता का ध्यान रखेंगे और उन्हें यह नोटिस करने से रोकेंगे कि उनका सिस्टम भंग हो गया है। दुर्भावनापूर्ण .LNK फ़ाइल में आदेशों की एक सूची होती है, जिसे वह पृष्ठभूमि में चुपचाप निष्पादित करेगा। कमांड सूची खतरे की अनुमति देगी:
- इसकी फ़ाइलों को समझौता किए गए होस्ट पर %APPDATA% निर्देशिका में रोपित करें।
- LNK फ़ाइल से डेटा को डिक्रिप्ट और डीकंप्रेस करें।
- एक जावास्क्रिप्ट फ़ाइल को संक्रमित सिस्टम के 'डाउनलोड' फ़ोल्डर में रखें और फिर उसे निष्पादित करें।
इसके बाद, जावास्क्रिप्ट फ़ाइल यह सुनिश्चित करेगी कि यह कमांड का एक सेट चलाती है, जो हमलावरों को संक्रमित होस्ट और उसकी नेटवर्क सेटिंग्स के बारे में डेटा प्राप्त करने की अनुमति देगा। इसके बाद, दुर्भावनापूर्ण .LNK फ़ाइल से अनपैक की गई फ़ाइलों में से एक निष्पादित की जाएगी। विचाराधीन जावास्क्रिप्ट फ़ाइल यह भी सुनिश्चित करेगी कि मेजबान पर खतरा बना रहे ताकि इसे रिबूट पर निष्पादित किया जा सके।
अपने सिस्टम को साइबर हमलों से बचाने के लिए, एक प्रतिष्ठित, आधुनिक एंटीवायरस एप्लिकेशन में निवेश करने की सलाह दी जाती है।
