Higaisa APT ist seit November 2019 bekannt, als Tencent-Forscher erstmals die Aktivitäten dokumentierten. Die Gruppe wurde kürzlich entdeckt, aber Angreifer operieren seit mehreren Jahren und verwenden gängige Werkzeuge, um die Zuordnung zu erschweren. Sie nutzen vor allem mobile Schadsoftware sowie die Trojaner Gh0st und PlugX. Forscher glauben, dass Higaisa APT eine von Südkorea unterstützte Gruppe ist, die sich auf Regierungsbeamte und Menschenrechtsorganisationen konzentriert.
Seit Mitte Mai führt die Gruppe Spear-Phishing-Kampagnen durch und verteilt die LNK-Datei, die in einem Archiv als bösartiger Anhang gebündelt ist. Ziel dieser Kampagne sind Organisationen, die die Zeplin-Kollaborationsplattform nutzen. Das bösartige Archiv enthält zwei Microsoft-Verknüpfungsdateien und ein PDF, die alle die Zeplin-Plattform referenzieren. Wenn das Opfer eine Verknüpfungsdatei ausführt, wird eine mehrstufige Infektionskette initiiert, die letztendlich einen Gh0st RAT-Agenten bereitstellt.
Die Malware erzielt Persistenz durch eine geplante Aufgabe, während sie sich als legitime Binärdatei im Windows-Startordner tarnt. Während des Infektionsprozesses kommuniziert die Malware mit drei verschiedenen C&C-Servern. Die APT-Gruppe führte ähnliche Angriffe im März unter Verwendung von COVID19-Thema-Phishing-E-Mails durch. Diese Woche hat unser Threat Bounty Program zwei verschiedene Regeln zur Erkennung von Angriffen der Higaisa APT veröffentlicht:
Neuer LNK-Angriff in Verbindung mit Higaisa APT by Osman Demir – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/
Higaisa APT by Ariel Millahuel – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1
Die Regeln haben Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung, Rechteerweiterung, Persistenz
Techniken: Befehlszeilenschnittstelle (T1059), Registrierung Run Keys / Startup Ordner (T1060), Geplante Aufgabe (T1053)
Wir möchten auch auf die verfügbaren Regeln zur Erkennung von Gh0st RAT hinweisen:
Gh0st RAT-Detektor (Sysmon) von SOC Prime Team – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/
Gh0stRAT Malware Detektor (Sysmon Verhalten) (Juli 2019) by Lee Archinal – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/
