Higaisa APT
Higaisa APT(高级持续威胁)是一个黑客组织,可能起源于朝鲜半岛。 Higaisa 黑客组织于 2019 年首次受到广泛研究。然而,恶意软件分析师认为,Higaisa APT 于 2016 年首次开始运营,但在 2019 年之前一直设法避免引起网络安全领域专家的注意。Higaisa APT 似乎同时利用了这两个定制的黑客工具,以及流行的公开威胁,如PlugX RAT (远程访问木马)和Gh0st RAT 。
Higaisa 黑客组织倾向于主要依靠鱼叉式网络钓鱼电子邮件活动来分发恶意软件。据安全研究人员称,在 Higaisa APT 的最新操作之一中,使用的感染媒介是恶意的 .LNK 文件。他们最新活动中的 .LNK 文件被伪装成无害文件,例如考试成绩、简历、工作机会等。今年早些时候,Higaisa 黑客组织使用以 COVID-19 为主题的电子邮件将损坏的 .LNK 文件传播给他们的目标。
如果用户被 Higaisa APT 欺骗并打开损坏的文件,他们可能不会注意到任何异常。这是因为该黑客组织使用诱饵文件来吸引用户的注意力并防止他们注意到他们的系统已被破坏。恶意 .LNK 文件有一个命令列表,它将在后台静默执行。命令列表将允许威胁:
- 将其文件植入受感染主机的 %APPDATA% 目录中。
- 解密并解压缩 LNK 文件中的数据。
- 在受感染系统的“下载”文件夹中植入一个 JavaScript 文件,然后执行它。
接下来,JavaScript 文件将确保它运行一组命令,这将允许攻击者获取有关受感染主机及其网络设置的数据。接下来,将执行从恶意 .LNK 文件中解压缩的文件之一。有问题的 JavaScript 文件还将确保威胁在主机上持续存在,以便在重新启动时执行。
为了保护您的系统免受网络攻击,建议投资于信誉良好的现代防病毒应用程序。
