Lisenser for flere enheter (volumrabatter)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Med GoldSparrow i Advanced Persistent Threat (APT)
Oversett til:
Norsk

Higaisa APT (Advanced Persistent Threat) er en hackergruppe, som sannsynligvis kommer fra den koreanske halvøya. Higaisa-hacking-gruppen ble først studert grundig i 2019. Imidlertid mener malware-analytikere at Higaisa APT først begynte å operere i 2016, men har klart å unngå å tiltrekke seg oppmerksomheten til eksperter innen cybersikkerhet frem til 2019. Higaisa APT ser ut til å bruke både skreddersydde hackingverktøy, samt populære offentlig tilgjengelige trusler som PlugX RAT (Remote Access Trojan) og Gh0st RAT .

Higaisa-hackinggruppen har en tendens til å hovedsakelig stole på spyd-phishing-e-postkampanjer for å distribuere skadelig programvare. Ifølge sikkerhetsforskere, i en av de siste operasjonene til Higaisa APT, var infeksjonsvektoren som ble brukt ondsinnede .LNK-filer. .LNK-filene fra deres siste kampanje ble maskert som ufarlige filer som eksamensresultater, CV-er, jobbtilbud osv. Tidligere i år brukte Higaisa-hackergruppen e-poster med COVID-19-tema for å spre korrupte .LNK-filer til målene deres.

Hvis brukeren blir lurt av Higaisa APT og åpner den ødelagte filen, vil de kanskje ikke legge merke til noe utenom det vanlige. Dette er fordi denne hackergruppen bruker lokkefiler som vil holde oppmerksomheten til brukeren og hindre dem i å legge merke til at systemet deres har blitt brutt. Den ondsinnede .LNK-filen har en liste over kommandoer som den vil kjøre stille i bakgrunnen. Kommandolisten lar trusselen:

  • Plant filene i %APPDATA%-katalogen på den kompromitterte verten.
  • Dekrypter og dekomprimer dataene fra LNK-filen.
  • Plant en JavaScript-fil i 'Nedlastinger'-mappen til det infiserte systemet og kjør den.

Deretter vil JavaScript-filen sørge for at den kjører et sett med kommandoer, som vil tillate angriperne å skaffe data om den infiserte verten og dens nettverksinnstillinger. Deretter vil en av filene, som ble pakket ut fra den skadelige .LNK-filen, kjøres. Den aktuelle JavaScript-filen vil også sørge for at trusselen får utholdenhet på verten slik at den vil bli utført ved omstart.

For å beskytte systemet ditt mot cyberangrep, er det tilrådelig å investere i et anerkjent, moderne antivirusprogram.

Trender

Mest sett

Laster inn...