Licenser för flera enheter (volymrabatter)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Med GoldSparrow år Advanced Persistent Threat (APT)
Översätt till:
Svenska

Higaisa APT (Advanced Persistent Threat) är en hackargrupp som troligen kommer från den koreanska halvön. Higaisa-hackargruppen studerades först 2019. Men skadligvaruanalytiker tror att Higaisa APT började fungera 2016 men har lyckats undvika att dra till sig uppmärksamhet från experter inom cybersäkerhet fram till 2019. Higaisa APT verkar använda både skräddarsydda hackningsverktyg, såväl som populära allmänt tillgängliga hot som PlugX RAT (Remote Access Trojan) och Gh0st RAT.

Higaisa-hackargruppen tenderar att huvudsakligen förlita sig på e-postkampanjer med spjutfiske för att distribuera skadlig programvara. Enligt säkerhetsforskare, i en av de senaste operationerna av Higaisa APT, var infektionsvektorn som användes skadliga .LNK-filer. .LNK-filerna från deras senaste kampanj maskerades som ofarliga filer såsom provresultat, CV:n, jobberbjudanden, etc. Tidigare i år använde Higaisa-hackargruppen e-postmeddelanden med covid-19-tema för att sprida korrupta .LNK-filer till sina mål.

Om användaren blir lurad av Higaisa APT och öppnar den skadade filen kanske de inte märker något utöver det vanliga. Detta beror på att den här hackningsgruppen använder lockbetefiler som kommer att hålla användarens uppmärksamhet och hindra dem från att märka att deras system har brutits. Den skadliga .LNK-filen har en lista med kommandon som den körs tyst i bakgrunden. Kommandolistan tillåter hotet att:

  • Plantera dess filer i %APPDATA%-katalogen på den komprometterade värden.
  • Dekryptera och dekomprimera data från LNK-filen.
  • Plantera en JavaScript-fil i mappen "Nedladdningar" i det infekterade systemet och kör den sedan.

Därefter kommer JavaScript-filen att se till att den kör en uppsättning kommandon, vilket skulle göra det möjligt för angriparna att få data om den infekterade värden och dess nätverksinställningar. Därefter kommer en av filerna som packades upp från den skadliga .LNK-filen att köras. JavaScript-filen i fråga skulle också se till att hotet blir kvar på värden så att det exekveras vid omstart.

För att skydda ditt system från cyberattacker är det tillrådligt att investera i ett välrenommerat, modernt antivirusprogram.

Trendigt

Mest sedda

Läser in...