Higaisa APT
Higaisa APT(高級持續威脅)是一個黑客組織,可能起源於朝鮮半島。 Higaisa 黑客組織於 2019 年首次受到廣泛研究。然而,惡意軟件分析師認為,Higaisa APT 於 2016 年首次開始運營,但在 2019 年之前一直設法避免引起網絡安全領域專家的注意。Higaisa APT 似乎同時利用了這兩個定制的黑客工具,以及流行的公開威脅,如PlugX RAT (遠程訪問木馬)和Gh0st RAT 。
Higaisa 黑客組織傾向於主要依靠魚叉式網絡釣魚電子郵件活動來分發惡意軟件。據安全研究人員稱,在 Higaisa APT 的最新操作之一中,使用的感染媒介是惡意的 .LNK 文件。他們最新活動中的 .LNK 文件被偽裝成無害文件,例如考試成績、簡歷、工作機會等。今年早些時候,Higaisa 黑客組織使用以 COVID-19 為主題的電子郵件將損壞的 .LNK 文件傳播給他們的目標。
如果用戶被 Higaisa APT 欺騙並打開損壞的文件,他們可能不會注意到任何異常。這是因為該黑客組織使用誘餌文件來吸引用戶的注意力並防止他們注意到他們的系統已被破壞。惡意 .LNK 文件有一個命令列表,它將在後台靜默執行。命令列表將允許威脅:
- 將其文件植入受感染主機的 %APPDATA% 目錄中。
- 解密並解壓縮 LNK 文件中的數據。
- 在受感染系統的“下載”文件夾中植入一個 JavaScript 文件,然後執行它。
接下來,JavaScript 文件將確保它運行一組命令,這將允許攻擊者獲取有關受感染主機及其網絡設置的數據。接下來,將執行從惡意 .LNK 文件中解壓縮的文件之一。有問題的 JavaScript 文件還將確保威脅在主機上持續存在,以便在重新啟動時執行。
為了保護您的系統免受網絡攻擊,建議投資於信譽良好的現代防病毒應用程序。
