Licencje na wiele urządzeń (rabaty zbiorcze)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Do GoldSparrow w Advanced Persistent Threat (APT)
Przetłumacz na:
Polski

Higaisa APT (Advanced Persistent Threat) to grupa hakerska, która prawdopodobnie wywodzi się z Półwyspu Koreańskiego. Grupa hakerska Higaisa została po raz pierwszy szczegółowo zbadana w 2019 r. Jednak analitycy złośliwego oprogramowania uważają, że Higaisa APT zaczął działać po raz pierwszy w 2016 r., ale udało mu się uniknąć przyciągnięcia uwagi ekspertów w dziedzinie cyberbezpieczeństwa do 2019 r. Higaisa APT wydaje się wykorzystywać oba niestandardowe narzędzia hakerskie, a także popularne publicznie dostępne zagrożenia, takie jak PlugX RAT (trojan zdalnego dostępu) i Gh0st RAT.

Grupa hakerów Higaisa zwykle polega głównie na kampaniach e-mail typu spear phishing w celu rozpowszechniania złośliwego oprogramowania. Według badaczy bezpieczeństwa, w jednej z ostatnich operacji APT Higaisa wykorzystanym wektorem infekcji były złośliwe pliki .LNK. Pliki .LNK z ich najnowszej kampanii zostały zamaskowane jako nieszkodliwe pliki, takie jak wyniki egzaminów, CV, oferty pracy itp. Na początku tego roku grupa hakerów Higaisa wykorzystywała wiadomości e-mail o tematyce COVID-19, aby rozpowszechniać uszkodzone pliki .LNK do swoich celów.

Jeśli użytkownik zostanie oszukany przez Higaisa APT i otworzy uszkodzony plik, może nie zauważyć niczego niezwykłego. Dzieje się tak, ponieważ ta grupa hakerów używa wabiących plików, które utrzymają uwagę użytkownika i zapobiegną zauważeniu, że ich system został naruszony. Złośliwy plik .LNK zawiera listę poleceń, które będzie wykonywał po cichu w tle. Lista poleceń pozwoli zagrożeniu:

  • Umieść swoje pliki w katalogu %APPDATA% na zaatakowanym hoście.
  • Odszyfruj i rozpakuj dane z pliku LNK.
  • Umieść plik JavaScript w folderze „Pobrane” zainfekowanego systemu, a następnie go uruchom.

Następnie plik JavaScript upewni się, że uruchomi zestaw poleceń, które umożliwią atakującym uzyskanie danych dotyczących zainfekowanego hosta i jego ustawień sieciowych. Następnie zostanie uruchomiony jeden z plików, które zostały rozpakowane ze złośliwego pliku .LNK. Omawiany plik JavaScript zapewniłby również, że zagrożenie utrwali się na hoście, dzięki czemu zostanie wykonane po ponownym uruchomieniu.

Aby chronić swój system przed cyberatakami, warto zainwestować w renomowaną, nowoczesną aplikację antywirusową.

Popularne

Najczęściej oglądane

Ładowanie...