Higaisa APT

Von GoldSparrow in Advanced Persistent Threat (APT)

Übersetzen Sie in:

Die Higaisa APT (Advanced Persistent Threat) ist eine Hacking-Gruppe, die wahrscheinlich von der koreanischen Halbinsel stammt. Die Higaisa-Hacking-Gruppe wurde erstmals 2019 ausgiebig untersucht. Malware-Analysten glauben jedoch, dass das Higaisa-APT erstmals 2016 in Betrieb genommen wurde, es aber bis 2019 geschafft hat, die Aufmerksamkeit von Experten auf dem Gebiet der Cybersicherheit zu vermeiden. Das Higaisa-APT scheint beides zu nutzen- maßgeschneiderte Hacking-Tools sowie beliebte öffentlich verfügbare Bedrohungen wie PlugX RAT (Remote Access Trojan) und Gh0st RAT.

Die Higaisa-Hacking-Gruppe verlässt sich hauptsächlich auf Spear-Phishing-E-Mail-Kampagnen, um Malware zu verbreiten. Laut Sicherheitsforschern waren bei einer der letzten Operationen des Higaisa APT bösartige .LNK-Dateien der verwendete Infektionsvektor. Die .LNK-Dateien aus ihrer letzten Kampagne wurden als harmlose Dateien wie Prüfungsergebnisse, Lebensläufe, Stellenangebote usw. maskiert. Anfang dieses Jahres verwendete die Higaisa-Hacking-Gruppe E-Mails mit COVID-19-Motiven, um beschädigte .LNK-Dateien an ihre Ziele zu verbreiten.

Wenn der Benutzer von Higaisa APT ausgetrickst wird und die beschädigte Datei öffnet, bemerkt er möglicherweise nichts Außergewöhnliches. Dies liegt daran, dass diese Hacking-Gruppe Köderdateien verwendet, die die Aufmerksamkeit des Benutzers auf sich ziehen und ihn daran hindern, zu bemerken, dass sein System verletzt wurde. Die bösartige .LNK-Datei hat eine Liste von Befehlen, die sie unbemerkt im Hintergrund ausführt. Die Befehlsliste erlaubt der Bedrohung:

Seine Dateien im Verzeichnis %APPDATA% auf dem kompromittierten Host plazieren.
Die Daten aus der LNK-Datei entschlüsseln und dekomprimieren.
Eine JavaScript-Datei in den Ordner „Downloads“ des infizierten Systems einlegen und sie dann ausführen.

Als nächstes stellt die JavaScript-Datei sicher, dass sie eine Reihe von Befehlen ausführt, die es den Angreifern ermöglichen würden, Daten über den infizierten Host und seine Netzwerkeinstellungen zu erhalten. Als nächstes wird eine der Dateien ausgeführt, die aus der bösartigen .LNK-Datei entpackt wurden. Die fragliche JavaScript-Datei würde auch sicherstellen, dass die Bedrohung auf dem Host bestehen bleibt, sodass sie beim Neustart ausgeführt wird.

Um Ihr System vor Cyberangriffen zu schützen, ist es ratsam, in eine seriöse, moderne Antivirenanwendung zu investieren.

Suche

Region ändern

Higaisa APT

Kommentar abgeben

Im Trend

„YouPorn“-E-Mail-Betrug

Safe Search Eng

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...