Higaisa APT

Par GoldSparrow en Advanced Persistent Threat (APT)

Se traduisent par :

L'Higaisa APT (Advanced Persistent Threat) est un groupe de piratage, probablement originaire de la péninsule coréenne. Le groupe de piratage Higaisa a été étudié de manière approfondie pour la première fois en 2019. Cependant, les analystes des logiciels malveillants pensent que l'APT Higaisa a commencé à fonctionner en 2016, mais a réussi à éviter d'attirer l'attention d'experts dans le domaine de la cybersécurité jusqu'en 2019. L'APT Higaisa semble utiliser à la fois des outils de piratage personnalisés, ainsi que des menaces populaires accessibles au public comme le PlugX RAT (Remote Access Trojan) et le Gh0st RAT.

Le groupe de piratage Higaisa a tendance à s'appuyer principalement sur des campagnes d'e-mails de harponnage pour distribuer des logiciels malveillants. Selon des chercheurs en sécurité, dans l'une des dernières opérations de l'Higaisa APT, le vecteur d'infection utilisé était des fichiers .LNK malveillants. Les fichiers .LNK de leur dernière campagne ont été masqués comme des fichiers inoffensifs tels que des résultats d'examens, des CV, des offres d'emploi, etc. Plus tôt cette année, le groupe de piratage Higaisa a utilisé des e-mails sur le thème de COVID-19 pour propager des fichiers .LNK corrompus à leurs cibles.

Si l'utilisateur est trompé par le Higaisa APT et ouvre le fichier corrompu, il se peut qu'il ne remarque rien d'inhabituel. En effet, ce groupe de piratage utilise des fichiers leurres qui retiendront l'attention de l'utilisateur et l'empêcheront de remarquer que son système a été piraté. Le fichier .LNK malveillant contient une liste de commandes qu'il exécutera silencieusement en arrière-plan. La liste de commandes permettra à la menace de :

Plantez ses fichiers dans le répertoire %APPDATA% sur l'hôte compromis.
Décryptez et décompressez les données du fichier LNK.
Plantez un fichier JavaScript dans le dossier 'Téléchargements' du système infecté puis exécutez-le.

Ensuite, le fichier JavaScript s'assurera qu'il exécute un ensemble de commandes, ce qui permettrait aux attaquants d'obtenir des données concernant l'hôte infecté et ses paramètres réseau. Ensuite, l'un des fichiers décompressés du fichier .LNK malveillant sera exécuté. Le fichier JavaScript en question s'assurerait également que la menace gagne en persistance sur l'hôte afin qu'elle soit exécutée au redémarrage.

Pour protéger votre système contre les cyberattaques, il est conseillé d'investir dans une application antivirus moderne et réputée.

Rechercher

Changer de région

Higaisa APT

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran