Higaisa APT

Ang Higaisa APT (Advanced Persistent Threat) ay isang hacking group, na malamang na nagmula sa Korean Peninsula. Ang Higaisa hacking group ay unang pinag-aralan nang husto noong 2019. Gayunpaman, naniniwala ang mga malware analyst na ang Higaisa APT ay unang nagsimulang gumana noong 2016 ngunit nagawa nitong maiwasang maakit ang atensyon ng mga eksperto sa larangan ng cybersecurity hanggang 2019. Ang Higaisa APT ay lumilitaw na ginagamit ang parehong custom-made na tool sa pag-hack, pati na rin ang mga sikat na banta na available sa publiko tulad ng PlugX RAT (Remote Access Trojan) at ang Gh0st RAT .

Ang pangkat ng pag-hack ng Higaisa ay kadalasang umaasa sa mga kampanyang email ng spear-phishing upang ipamahagi ang malware. Ayon sa mga mananaliksik ng seguridad, sa isa sa mga pinakabagong operasyon ng Higaisa APT, ang ginamit na vector ng impeksyon ay mga malisyosong .LNK file. Ang mga .LNK file mula sa kanilang pinakabagong campaign ay na-mask bilang hindi nakakapinsalang mga file gaya ng mga resulta ng pagsusulit, CV, alok sa trabaho, atbp. Sa unang bahagi ng taong ito, gumamit ang Higaisa hacking group ng mga email na may temang COVID-19 upang ipalaganap ang mga sirang .LNK file sa kanilang mga target.

Kung ang gumagamit ay nalinlang ng Higaisa APT at binuksan ang sirang file, maaaring wala silang mapansin na kakaiba. Ito ay dahil ang grupong ito sa pag-hack ay gumagamit ng mga decoy na file na magpapanatili sa atensyon ng gumagamit at pipigil sa kanila na mapansin na ang kanilang system ay nilabag. Ang malisyosong .LNK file ay may listahan ng mga command, na tahimik nitong isasagawa sa background. Papayagan ng listahan ng command ang banta na:

• Itanim ang mga file nito sa %APPDATA% na direktoryo sa nakompromisong host.
• I-decrypt at i-decompress ang data mula sa LNK file.
• Magtanim ng JavaScript file sa folder na 'Mga Download' ng nahawaang system at pagkatapos ay isagawa ito.

Susunod, titiyakin ng JavaScript file na ito ay nagpapatakbo ng isang hanay ng mga utos, na magbibigay-daan sa mga umaatake na makakuha ng data tungkol sa nahawaang host at sa mga setting ng network nito. Susunod, isa sa mga file, na na-unpack mula sa nakakahamak na .LNK file ay isasagawa. Ang JavaScript file na pinag-uusapan ay titiyakin din na ang banta ay magkakaroon ng pagtitiyaga sa host upang ito ay maisakatuparan sa pag-reboot.

Upang maprotektahan ang iyong system mula sa mga pag-atake sa cyber, ipinapayong mamuhunan sa isang kagalang-galang, modernong antivi-rus na application.