Lesen Berbilang Peranti (Volume Diskaun)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Menjelang GoldSparrow pada Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Higaisa APT (Advanced Persistent Threat) ialah kumpulan penggodaman, yang berkemungkinan berasal dari Semenanjung Korea. Kumpulan penggodaman Higaisa mula dikaji secara meluas pada 2019. Walau bagaimanapun, penganalisis perisian hasad percaya bahawa APT Higaisa mula beroperasi pada 2016 tetapi berjaya mengelak daripada menarik perhatian pakar dalam bidang keselamatan siber sehingga 2019. APT Higaisa nampaknya menggunakan kedua-duanya alat penggodaman yang dibuat tersuai, serta ancaman yang tersedia secara umum seperti PlugX RAT (Remote Access Trojan) dan Gh0st RAT .

Kumpulan penggodaman Higaisa cenderung bergantung terutamanya pada kempen e-mel spear-phishing untuk mengedarkan perisian hasad. Menurut penyelidik keselamatan, dalam salah satu operasi terkini APT Higaisa, vektor jangkitan yang digunakan ialah fail .LNK yang berniat jahat. Fail .LNK daripada kempen terbaharu mereka telah ditutup sebagai fail tidak berbahaya seperti keputusan peperiksaan, CV, tawaran kerja, dll. Pada awal tahun ini, kumpulan penggodam Higaisa menggunakan e-mel bertemakan COVID-19 untuk menyebarkan fail .LNK yang rosak kepada sasaran mereka.

Jika pengguna ditipu oleh APT Higaisa dan membuka fail yang rosak, mereka mungkin tidak menyedari apa-apa yang luar biasa. Ini kerana kumpulan penggodaman ini menggunakan fail decoy yang akan mengekalkan perhatian pengguna dan menghalang mereka daripada menyedari bahawa sistem mereka telah dilanggar. Fail .LNK berniat jahat mempunyai senarai perintah, yang akan dilaksanakan secara senyap di latar belakang. Senarai arahan akan membenarkan ancaman untuk:

  • Tanam failnya dalam direktori %APPDATA% pada hos yang terjejas.
  • Nyahsulit dan nyahmampat data daripada fail LNK.
  • Tanam fail JavaScript dalam folder 'Muat Turun' sistem yang dijangkiti dan kemudian laksanakannya.

Seterusnya, fail JavaScript akan memastikan bahawa ia menjalankan satu set arahan, yang akan membolehkan penyerang mendapatkan data mengenai hos yang dijangkiti dan tetapan rangkaiannya. Seterusnya, salah satu fail, yang telah dibongkar daripada fail .LNK berniat jahat akan dilaksanakan. Fail JavaScript yang dipersoalkan juga akan memastikan ancaman mendapat kegigihan pada hos supaya ia akan dilaksanakan apabila but semula.

Untuk melindungi sistem anda daripada serangan siber, adalah dinasihatkan untuk melabur dalam aplikasi antivirus moden yang bereputasi baik.

Trending

Paling banyak dilihat

Memuatkan...