Contenido de Detección de Amenazas: Higaisa APT

[post-views]
junio 11, 2020 · 2 min de lectura
Contenido de Detección de Amenazas: Higaisa APT

Higaisa APT se conoce desde noviembre de 2019, cuando los investigadores de Tencent primero documentaron sus actividades. El grupo fue descubierto recientemente, pero los atacantes han estado operando durante varios años y usan herramientas comunes para complicar la atribución. Principalmente utilizan malware móvil y los troyanos Gh0st y PlugX. Los investigadores creen que Higaisa APT es un grupo patrocinado por el estado de Corea del Sur que se enfoca en funcionarios gubernamentales y organizaciones de derechos humanos. 

Desde mediados de mayo, el grupo ha estado llevando a cabo campañas de spear-phishing distribuyendo el archivo LNK incluido en un archivo como adjuntos maliciosos. Los objetivos en esta campaña son organizaciones que utilizan la plataforma de colaboración Zeplin. El archivo malicioso contiene dos archivos de atajo de Microsoft y un PDF, todos los cuales hacen referencia a la plataforma Zeplin. Si la víctima ejecuta un archivo de atajo, se inicia una cadena de infección de varios pasos que finalmente despliega un agente de Gh0st RAT. 

El malware logra persistencia a través de una tarea programada mientras se hace pasar por un binario legítimo en la carpeta de inicio de Windows. Durante el proceso de infección, el malware se comunica con tres diferentes servidores C&C. El grupo APT llevó a cabo ataques similares en marzo usando correos electrónicos de phishing con temática COVID19. Esta semana nuestro Programa de Recompensas de Amenazas los miembros publicaron dos reglas diferentes para detectar ataques de Higaisa APT:

Nuevo ataque LNK vinculado a Higaisa APT by Osman Demirhttps://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by Ariel Millahuelhttps://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

 

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Ejecución, Escalada de Privilegios, Persistencia 

Técnicas: Interfaz de Línea de Comandos (T1059), Claves de Ejecución del Registro / Carpeta de Inicio (T1060), Tarea Programada (T1053

 

También deseamos llamar su atención sobre las reglas disponibles para detectar Gh0st RAT:

Detector de Gh0st RAT (Sysmon) por el equipo de SOC Prime – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Detector de Malware Gh0stRAT (Comportamiento de Sysmon) (Julio 2019) by Lee Archinalhttps://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko