Higaisa APT

A Higaisa APT (Advanced Persistent Threat) egy hackercsoport, amely valószínűleg a Koreai-félszigetről származik. A Higaisa hackercsoportot először 2019-ben tanulmányozták alaposan. A rosszindulatú programok elemzői azonban úgy vélik, hogy a Higaisa APT először 2016-ban kezdte meg működését, de 2019-ig sikerült elkerülnie a kiberbiztonsági szakértők figyelmét. A Higaisa APT a jelek szerint mindkettőt használja. egyedi készítésű hackereszközök, valamint olyan népszerű, nyilvánosan elérhető fenyegetések, mint a PlugX RAT (Remote Access Trojan) és a Gh0st RAT .

A Higaisa hackercsoport általában főként adathalász e-mail kampányokra támaszkodik a rosszindulatú programok terjesztésére. Biztonsági kutatók szerint a Higaisa APT egyik legújabb műveletében a fertőzés vektorként rosszindulatú .LNK-fájlokat használtak. A legutóbbi kampányuk .LNK fájljait ártalmatlan fájlokként álcázták, például vizsgaeredményeket, önéletrajzokat, állásajánlatokat stb. Az év elején a Higaisa hackercsoport COVID-19 témájú e-maileket használt a sérült .LNK-fájlok célpontjainak terjesztésére.

Ha a felhasználót becsapja a Higaisa APT, és megnyitja a sérült fájlt, előfordulhat, hogy nem vesz észre semmi szokatlant. Ennek az az oka, hogy ez a hackercsoport csali fájlokat használ, amelyek lekötik a felhasználó figyelmét, és megakadályozzák, hogy észrevegyék, hogy rendszerüket feltörték. A rosszindulatú .LNK fájl parancsok listáját tartalmazza, amelyeket csendben hajt végre a háttérben. A parancslista lehetővé teszi, hogy a fenyegetés:

• Helyezze el a fájlokat a feltört gazdagép %APPDATA% könyvtárába.
• Dekódolja és csomagolja ki az adatokat az LNK fájlból.
• Helyezzen el egy JavaScript fájlt a fertőzött rendszer „Letöltések” mappájába, majd futtassa.

Ezután a JavaScript-fájl megbizonyosodik arról, hogy parancsokat futtat, amelyek lehetővé teszik a támadók számára, hogy adatokat szerezzenek a fertőzött gazdagépről és annak hálózati beállításairól. Ezután a rosszindulatú .LNK fájlból kicsomagolt fájlok egyike végrehajtásra kerül. A szóban forgó JavaScript-fájl gondoskodik arról is, hogy a fenyegetés állandósuljon a gazdagépen, hogy újraindításkor végre lehessen hajtani.

Ahhoz, hogy megvédje rendszerét a kibertámadásoktól, tanácsos beruházni egy jó hírű, modern víruskereső alkalmazásba.