Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Tegen GoldSparrow in Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

De Higaisa APT (Advanced Persistent Threat) is een hackgroep, die waarschijnlijk afkomstig is van het Koreaanse schiereiland. De Higaisa-hackgroep werd voor het eerst uitgebreid bestudeerd in 2019. Malware-analisten zijn echter van mening dat de Higaisa APT voor het eerst in 2016 begon te werken, maar tot 2019 de aandacht van experts op het gebied van cyberbeveiliging heeft weten te vermijden. De Higaisa APT lijkt beide te gebruiken. op maat gemaakte hacktools, evenals populaire openbaar beschikbare bedreigingen zoals de PlugX RAT (Remote Access Trojan) en de Gh0st RAT.

De hackgroep van Higaisa vertrouwt voornamelijk op spear-phishing-e-mailcampagnes om malware te verspreiden. Volgens beveiligingsonderzoekers waren bij een van de laatste operaties van de Higaisa APT de gebruikte infectievector kwaadaardige .LNK-bestanden. De .LNK-bestanden van hun laatste campagne werden gemaskeerd als onschadelijke bestanden, zoals examenresultaten, cv's, vacatures, enz. Eerder dit jaar gebruikte de Higaisa-hackgroep e-mails met COVID-19-thema om beschadigde .LNK-bestanden naar hun doelen te verspreiden.

Als de gebruiker wordt misleid door de Higaisa APT en het beschadigde bestand opent, merkt hij mogelijk niets ongewoons. Dit komt omdat deze hackgroep lokbestanden gebruikt die de aandacht van de gebruiker houden en voorkomen dat ze merken dat hun systeem is gehackt. Het kwaadaardige .LNK-bestand heeft een lijst met opdrachten die het op de achtergrond stil zal uitvoeren. Met de commandolijst kan de dreiging:

  • Plaats de bestanden in de map %APPDATA% op de gecompromitteerde host.
  • Decodeer en decomprimeer de gegevens uit het LNK-bestand.
  • Plant een JavaScript-bestand in de map 'Downloads' van het geïnfecteerde systeem en voer het vervolgens uit.

Vervolgens zorgt het JavaScript-bestand ervoor dat het een reeks opdrachten uitvoert, waarmee de aanvallers gegevens kunnen verkrijgen over de geïnfecteerde host en zijn netwerkinstellingen. Vervolgens wordt een van de bestanden, die uit het kwaadaardige .LNK-bestand zijn uitgepakt, uitgevoerd. Het JavaScript-bestand in kwestie zou er ook voor zorgen dat de dreiging persistent wordt op de host, zodat deze bij het opnieuw opstarten wordt uitgevoerd.

Om uw systeem te beschermen tegen cyberaanvallen, is het raadzaam te investeren in een gerenommeerde, moderne antivirustoepassing.

Trending

Meest bekeken

Bezig met laden...