Higaisa APT

Higaisa APT (Advanced Persistent Threat) เป็นกลุ่มแฮ็คที่อาจมาจากคาบสมุทรเกาหลี กลุ่มแฮ็กเกอร์ Higaisa ได้รับการศึกษาครั้งแรกอย่างกว้างขวางในปี 2019 อย่างไรก็ตาม นักวิเคราะห์มัลแวร์เชื่อว่า Higaisa APT เริ่มปฏิบัติการครั้งแรกในปี 2559 แต่สามารถหลีกเลี่ยงการดึงดูดความสนใจของผู้เชี่ยวชาญในด้านความปลอดภัยทางไซเบอร์ได้จนถึงปี 2019 ดูเหมือนว่า Higaisa APT จะใช้ทั้งคู่ เครื่องมือแฮ็กแบบกำหนดเอง เช่นเดียวกับภัยคุกคามที่เปิดเผยต่อสาธารณะเช่น PlugX RAT (Remote Access Trojan) และ Gh0st RAT

กลุ่มแฮ็กเกอร์ Higaisa มักจะพึ่งพาแคมเปญอีเมลสเปียร์ฟิชชิ่งเพื่อแจกจ่ายมัลแวร์เป็นหลัก ตามที่นักวิจัยด้านความปลอดภัย หนึ่งในการดำเนินการล่าสุดของ Higaisa APT เวกเตอร์การติดไวรัสที่ใช้คือไฟล์ .LNK ที่เป็นอันตราย ไฟล์ .LNK จากแคมเปญล่าสุดของพวกเขาถูกปกปิดเป็นไฟล์ที่ไม่เป็นอันตราย เช่น ผลการสอบ ประวัติย่อ ข้อเสนองาน ฯลฯ เมื่อต้นปีนี้ กลุ่มแฮ็กเกอร์ Higaisa ใช้อีเมลธีม COVID-19 เพื่อเผยแพร่ไฟล์ .LNK ที่เสียหายไปยังเป้าหมาย

หากผู้ใช้ถูกหลอกโดย Higaisa APT และเปิดไฟล์ที่เสียหาย พวกเขาอาจไม่สังเกตเห็นสิ่งผิดปกติ เนื่องจากกลุ่มแฮ็คนี้ใช้ไฟล์หลอกลวงที่จะคอยดูแลผู้ใช้และป้องกันไม่ให้สังเกตเห็นว่าระบบของพวกเขาถูกละเมิด ไฟล์ .LNK ที่เป็นอันตรายมีรายการคำสั่งต่างๆ ซึ่งจะดำเนินการอย่างเงียบๆ ในเบื้องหลัง รายการคำสั่งจะอนุญาตให้ภัยคุกคาม:

• ปลูกไฟล์ในไดเร็กทอรี %APPDATA% บนโฮสต์ที่ถูกบุกรุก
• ถอดรหัสและขยายข้อมูลจากไฟล์ LNK
• วางไฟล์ JavaScript ในโฟลเดอร์ "ดาวน์โหลด" ของระบบที่ติดไวรัสแล้วดำเนินการ

ถัดไป ไฟล์ JavaScript จะทำให้แน่ใจว่าได้เรียกใช้ชุดคำสั่ง ซึ่งจะช่วยให้ผู้โจมตีสามารถรับข้อมูลเกี่ยวกับโฮสต์ที่ติดไวรัสและการตั้งค่าเครือข่ายได้ ถัดไป หนึ่งในไฟล์ที่แตกออกจากไฟล์ .LNK ที่เป็นอันตรายจะถูกดำเนินการ ไฟล์ JavaScript ที่เป็นปัญหาจะทำให้แน่ใจว่าภัยคุกคามได้รับความคงอยู่บนโฮสต์เพื่อที่จะดำเนินการเมื่อรีบูต

เพื่อปกป้องระบบของคุณจากการโจมตีทางไซเบอร์ ขอแนะนำให้ลงทุนในแอปพลิเคชัน antivi-rus ที่ทันสมัยและมีชื่อเสียง