Higaisa APT

Higaisa APT（Advanced Persistent Threat）は、朝鮮半島を起源とする可能性が高いハッキンググループです。 Higaisaハッキンググループは2019年に最初に広範囲に調査されました。しかし、マルウェアアナリストは、Higaisa APTが最初に運用を開始したのは2016年であると考えていますが、2019年までサイバーセキュリティの分野の専門家の注目を集めることはできませんでした。HigaisaAPTは両方を利用しているようです。ハッキングツール、カスタムメイド、などのような人気の公に利用可能な脅威PlugX RAT （リモートアクセス型トロイの木馬）とGh0st RAT 。

Higaisaハッキンググループは、マルウェアを配布するために主にスピアフィッシングメールキャンペーンに依存する傾向があります。セキュリティ研究者によると、Higaisa APTの最新の操作の1つで、利用された感染ベクトルは悪意のある.LNKファイルでした。最新のキャンペーンの.LNKファイルは、試験結果、CV、求人などの無害なファイルとしてマスクされていました。今年の初め、HigaisaハッキンググループはCOVID-19をテーマにした電子メールを使用して、破損した.LNKファイルをターゲットに伝播しました。

ユーザーがHigaisaAPTにだまされて破損したファイルを開いた場合、ユーザーは異常なことに気付かない可能性があります。これは、このハッキンググループがおとりファイルを使用してユーザーの注意を引き付け、システムが侵害されたことにユーザーが気付かないようにするためです。悪意のある.LNKファイルにはコマンドのリストがあり、バックグラウンドでサイレントに実行されます。コマンドリストにより、脅威は次のことが可能になります。

• 侵入先のホストの％APPDATA％ディレクトリにファイルを配置します。
• LNKファイルからデータを復号化および解凍します。
• 感染したシステムの「ダウンロード」フォルダにJavaScriptファイルを配置して実行します。

次に、JavaScriptファイルは、攻撃者が感染したホストとそのネットワーク設定に関するデータを取得できるようにする一連のコマンドを実行することを確認します。次に、悪意のある.LNKファイルから解凍されたファイルの1つが実行されます。問題のJavaScriptファイルは、脅威がホスト上で永続性を獲得し、再起動時に実行されることも確認します。

サイバー攻撃からシステムを保護するために、評判の良い最新のアンチウイルスアプリケーションに投資することをお勧めします。