Higaisa APT

Higaisa APT (Gelişmiş Kalıcı Tehdit), muhtemelen Kore Yarımadası'ndan gelen bir bilgisayar korsanlığı grubudur. Higaisa bilgisayar korsanlığı grubu ilk olarak 2019'da kapsamlı bir şekilde incelendi. Ancak kötü amaçlı yazılım analistleri, Higaisa APT'nin ilk olarak 2016'da faaliyete geçtiğine, ancak 2019'a kadar siber güvenlik alanındaki uzmanların dikkatini çekmeyi başardığına inanıyor. Higaisa APT, her ikisini de kullanıyor gibi görünüyor. araçları yanı sıra gibi popüler kamuya açık tehditleri hack ısmarlama PlugX RAT (Uzaktan Erişim Truva) ve Gh0sT RAT.

Higaisa bilgisayar korsanlığı grubu, kötü amaçlı yazılımları dağıtmak için temel olarak hedef odaklı kimlik avı e-posta kampanyalarına güvenme eğilimindedir. Güvenlik araştırmacılarına göre, Higaisa APT'nin en son operasyonlarından birinde, kullanılan enfeksiyon vektörü kötü amaçlı .LNK dosyalarıydı. En son kampanyalarındaki .LNK dosyaları, sınav sonuçları, özgeçmişler, iş teklifleri vb. gibi zararsız dosyalar olarak maskelendi. Bu yılın başlarında Higaisa bilgisayar korsanlığı grubu, bozuk .LNK dosyalarını hedeflerine yaymak için COVID-19 temalı e-postalar kullandı.

Kullanıcı Higaisa APT tarafından kandırılır ve bozuk dosyayı açarsa, olağan dışı bir şey fark etmeyebilir. Bunun nedeni, bu bilgisayar korsanlığı grubunun, kullanıcının dikkatini çekecek ve sistemlerinin ihlal edildiğini fark etmelerini önleyecek sahte dosyalar kullanmasıdır. Kötü amaçlı .LNK dosyası, arka planda sessizce yürüteceği bir komut listesine sahiptir. Komut listesi, tehdidin şunları yapmasına izin verecektir:

• Dosyalarını, güvenliği ihlal edilmiş ana bilgisayardaki %APPDATA% dizinine yerleştirin.
• LNK dosyasındaki verilerin şifresini çözün ve sıkıştırın.
• Etkilenen sistemin 'İndirilenler' klasörüne bir JavaScript dosyası yerleştirin ve ardından çalıştırın.

Ardından, JavaScript dosyası, saldırganların virüslü ana bilgisayar ve ağ ayarlarıyla ilgili verileri elde etmesine olanak tanıyan bir dizi komutu çalıştırdığından emin olacaktır. Ardından, kötü amaçlı .LNK dosyasından çıkarılan dosyalardan biri yürütülür. Söz konusu JavaScript dosyası, tehdidin ana bilgisayar üzerinde kalıcı olmasını ve böylece yeniden başlatmanın ardından yürütülmesini sağlar.

Sisteminizi siber saldırılara karşı korumak için saygın, modern bir virüsten koruma uygulamasına yatırım yapmanız önerilir.