Higaisa APT

Până în GoldSparrow în Advanced Persistent Threat (APT)

Tradu in:

Higaisa APT (Advanced Persistent Threat) este un grup de hacking, care probabil provine din Peninsula Coreeană. Grupul de hacking Higaisa a fost studiat pentru prima dată pe larg în 2019. Cu toate acestea, analiștii de malware cred că Higaisa APT a început să funcționeze pentru prima dată în 2016, dar a reușit să evite să atragă atenția experților în domeniul securității cibernetice până în 2019. Higaisa APT pare să folosească ambele instrumente de hacking personalizate, precum și amenințări populare disponibile public, cum ar fi PlugX RAT (Remote Access Trojan) și Gh0st RAT .

Grupul de hacking Higaisa tinde să se bazeze în principal pe campanii de e-mail de spear-phishing pentru a distribui programe malware. Potrivit cercetătorilor de securitate, într-una dintre cele mai recente operațiuni ale APT Higaisa, vectorul de infecție utilizat a fost fișiere .LNK rău intenționate. Fișierele .LNK din ultima lor campanie au fost mascate ca fișiere inofensive, cum ar fi rezultatele examenelor, CV-urile, ofertele de muncă etc. La începutul acestui an, grupul de hacking Higaisa a folosit e-mailuri cu tematică COVID-19 pentru a propaga fișiere .LNK corupte către ținte.

Dacă utilizatorul este păcălit de Higaisa APT și deschide fișierul corupt, este posibil să nu observe nimic ieșit din comun. Acest lucru se datorează faptului că acest grup de hacking folosește fișiere decoy care vor păstra atenția utilizatorului și îl vor împiedica să observe că sistemul lor a fost încălcat. Fișierul rău intenționat .LNK are o listă de comenzi, pe care le va executa în tăcere în fundal. Lista de comenzi va permite amenințării să:

Plantați fișierele în directorul %APPDATA% de pe gazda compromisă.
Decriptați și decomprimați datele din fișierul LNK.
Plantați un fișier JavaScript în folderul „Descărcări” al sistemului infectat și apoi executați-l.

În continuare, fișierul JavaScript se va asigura că rulează un set de comenzi, care ar permite atacatorilor să obțină date despre gazda infectată și setările sale de rețea. Apoi, unul dintre fișierele, care au fost dezambalate din fișierul rău intenționat .LNK va fi executat. Fișierul JavaScript în cauză s-ar asigura, de asemenea, că amenințarea câștigă persistență pe gazdă, astfel încât să fie executată la repornire.

Pentru a vă proteja sistemul de atacurile cibernetice, este recomandabil să investiți într-o aplicație anti-virus modernă și de renume.

Căutare

Schimbați regiunea

Higaisa APT

Trimite comentariu

Trending

Înșelătorie prin e-mail „YouPorn”.

Safe Search Eng

MyWallPaper

Cele mai văzute

Este Lookmovie.io sigur?

DNS Unlocker

Înșelătorie prin e-mail „Geek Squad”.