히가이사 APT

Higaisa APT(Advanced Persistent Threat)는 한반도에서 발원한 것으로 보이는 해킹 그룹입니다. Higaisa 해킹 그룹은 2019년에 처음으로 광범위하게 연구되었습니다. 그러나 악성 코드 분석가들은 Higaisa APT가 2016년에 처음 운영되기 시작했지만 2019년까지 사이버 보안 분야의 전문가들의 관심을 모으지 못했다고 생각합니다. Higaisa APT는 두 가지를 모두 활용하는 것으로 보입니다. 도구뿐만 아니라 같은 인기 공개 위협 해킹 맞춤 PlugX RAT (원격 액세스 트로이 목마)와 Gh0st RAT를 .

Higaisa 해킹 그룹은 주로 스피어 피싱 이메일 캠페인에 의존하여 멀웨어를 배포하는 경향이 있습니다. 보안 연구원에 따르면 Higaisa APT의 최신 작업 중 하나에서 활용된 감염 벡터는 악성 .LNK 파일이었습니다. 최신 캠페인의 .LNK 파일은 시험 결과, 이력서, 채용 제안 등과 같은 무해한 파일로 마스킹되었습니다. 올해 초 Higaisa 해킹 그룹은 COVID-19를 주제로 한 이메일을 사용하여 손상된 .LNK 파일을 대상으로 전파했습니다.

사용자가 Higaisa APT에 속아서 손상된 파일을 열면 평소와 다른 점을 눈치채지 못할 수 있습니다. 이것은 이 해킹 그룹이 사용자의 주의를 끌고 시스템이 침해되었다는 사실을 알아차리지 못하도록 미끼 파일을 사용하기 때문입니다. 악성 .LNK 파일에는 백그라운드에서 자동으로 실행되는 명령 목록이 있습니다. 명령 목록을 통해 위협은 다음을 수행할 수 있습니다.

• 손상된 호스트의 %APPDATA% 디렉토리에 파일을 심습니다.
• LNK 파일에서 데이터를 해독하고 압축을 풉니다.
• 감염된 시스템의 '다운로드' 폴더에 자바스크립트 파일을 심어서 실행한다.

다음으로 JavaScript 파일은 공격자가 감염된 호스트 및 해당 네트워크 설정에 관한 데이터를 얻을 수 있도록 하는 일련의 명령을 실행하는지 확인합니다. 다음으로 악성 .LNK 파일에서 압축을 푼 파일 중 하나가 실행됩니다. 문제의 JavaScript 파일은 또한 위협이 호스트에서 지속성을 확보하여 재부팅 시 실행되도록 합니다.

사이버 공격으로부터 시스템을 보호하려면 평판이 좋은 최신 안티바이러스 애플리케이션에 투자하는 것이 좋습니다.