Higaisa APT
L'Higaisa APT (Advanced Persistent Threat) è un gruppo di hacker, probabilmente originario della penisola coreana. Il gruppo di hacker di Higaisa è stato studiato per la prima volta in modo approfondito nel 2019. Tuttavia, gli analisti di malware ritengono che l'APT di Higaisa abbia iniziato a funzionare per la prima volta nel 2016, ma sia riuscito a evitare di attirare l'attenzione degli esperti nel campo della sicurezza informatica fino al 2019. L'APT di Higaisa sembra utilizzare entrambi strumenti di hacking personalizzati, nonché minacce popolari pubblicamente disponibili come PlugX RAT (Remote Access Trojan) e Gh0st RAT.
Il gruppo di hacker Higaisa tende a fare affidamento principalmente su campagne e-mail di spear-phishing per distribuire malware. Secondo i ricercatori di sicurezza, in una delle ultime operazioni di Higaisa APT, il vettore di infezione utilizzato era file .LNK dannosi. I file .LNK della loro ultima campagna sono stati mascherati come file innocui come risultati di esami, CV, offerte di lavoro, ecc. All'inizio di quest'anno, il gruppo di hacker Higaisa ha utilizzato e-mail a tema COVID-19 per propagare file .LNK corrotti ai propri obiettivi.
Se l'utente viene ingannato da Higaisa APT e apre il file danneggiato, potrebbe non notare nulla di anomalo. Questo perché questo gruppo di hacker utilizza file esca che manterranno l'attenzione dell'utente e impediranno loro di notare che il loro sistema è stato violato. Il file .LNK dannoso ha un elenco di comandi, che eseguirà silenziosamente in background. L'elenco dei comandi consentirà alla minaccia di:
- Pianta i suoi file nella directory %APPDATA% sull'host compromesso.
- Decrittografare e decomprimere i dati dal file LNK.
- Pianta un file JavaScript nella cartella "Download" del sistema infetto e quindi eseguilo.
Successivamente, il file JavaScript si assicurerà di eseguire una serie di comandi, che consentirebbero agli aggressori di ottenere dati relativi all'host infetto e alle sue impostazioni di rete. Successivamente, verrà eseguito uno dei file che sono stati decompressi dal file .LNK dannoso. Il file JavaScript in questione assicurerebbe inoltre che la minaccia ottenga persistenza sull'host in modo che venga eseguita al riavvio.
Per proteggere il tuo sistema dagli attacchi informatici, è consigliabile investire in un'applicazione antivirus moderna e affidabile.
