Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Advanced Persistent Threat (APT) Higaisa APT

Higaisa APT

Por GoldSparrow en Advanced Persistent Threat (APT)
Traducir a:
Español

Higaisa APT (Advanced Persistent Threat) es un grupo de piratería, que probablemente se origina en la península de Corea. El grupo de piratería Higaisa se estudió ampliamente por primera vez en 2019. Sin embargo, los analistas de malware creen que Higaisa APT comenzó a operar por primera vez en 2016, pero logró evitar atraer la atención de los expertos en el campo de la ciberseguridad hasta 2019. Higaisa APT parece utilizar ambos herramientas de piratería personalizadas, así como amenazas populares disponibles públicamente como PlugX RAT (troyano de acceso remoto) y Gh0st RAT.

El grupo de piratería Higaisa tiende a depender principalmente de campañas de correo electrónico de phishing para distribuir malware. Según investigadores de seguridad, en una de las últimas operaciones de la APT de Higaisa, el vector de infección utilizado fueron archivos .LNK maliciosos. Los archivos .LNK de su última campaña se enmascararon como archivos inofensivos, como resultados de exámenes, CV, ofertas de trabajo, etc. A principios de este año, el grupo de hackers Higaisa usó correos electrónicos con el tema de COVID-19 para propagar archivos .LNK corruptos a sus objetivos.

Si el APT de Higaisa engaña al usuario y abre el archivo corrupto, es posible que no note nada fuera de lo normal. Esto se debe a que este grupo de piratas informáticos utiliza archivos señuelo que mantendrán la atención del usuario y evitarán que se dé cuenta de que su sistema ha sido violado. El archivo malicioso .LNK tiene una lista de comandos, que ejecutará silenciosamente en segundo plano. La lista de comandos permitirá que la amenaza:

  • Planta sus archivos en el directorio %APPDATA% en el host comprometido.
  • Descifre y descomprima los datos del archivo LNK.
  • Coloque un archivo JavaScript en la carpeta 'Descargas' del sistema infectado y luego ejecútelo.

A continuación, el archivo JavaScript se asegurará de ejecutar un conjunto de comandos, lo que permitiría a los atacantes obtener datos sobre el host infectado y su configuración de red. A continuación, se ejecutará uno de los archivos que se descomprimieron del archivo malicioso .LNK. El archivo JavaScript en cuestión también se aseguraría de que la amenaza gane persistencia en el host para que se ejecute al reiniciar.

Para proteger su sistema de ataques cibernéticos, es recomendable invertir en una aplicación antivirus moderna y de buena reputación.

Tendencias

Mas Visto

Cargando...