APT Higaisa est connu depuis novembre 2019, lorsque les chercheurs de Tencent ont d’abord documenté ses activités. Le groupe a été découvert récemment, mais les attaquants opèrent depuis plusieurs années et utilisent des outils courants pour compliquer l’attribution. Ils utilisent principalement des malwares mobiles ainsi que les chevaux de Troie Gh0st et PlugX. Les chercheurs pensent que l’APT Higaisa est un groupe parrainé par l’État sud-coréen qui se concentre sur les fonctionnaires gouvernementaux et les organisations de défense des droits de l’homme.
Depuis la mi-mai, le groupe a mené des campagnes de spear-phishing distribué le fichier LNK intégré dans une archive comme pièces jointes malveillantes. Les cibles de cette campagne sont des organisations utilisant la plateforme de collaboration Zeplin. L’archive malveillante contient deux fichiers de raccourci Microsoft et un PDF, qui font tous référence à la plateforme Zeplin. Si la victime exécute un fichier de raccourci, une chaîne d’infection en plusieurs étapes qui déploie finalement un agent Gh0st RAT est initiée.
Le malware obtient une persistance via une tâche planifiée tout en se faisant passer pour un binaire légitime dans le dossier de démarrage de Windows. Pendant le processus d’infection, le malware communique avec trois serveurs C&C différents. Le groupe APT a mené des attaques similaires en mars en utilisant des e-mails de phishing sur le thème de la COVID-19. Cette semaine, notre Programme de primes aux menaces les membres ont publié deux règles différentes pour détecter les attaques d’APT Higaisa :
Nouvelle attaque LNK liée à APT Higaisa by Osman Demir – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/
APT Higaisa by Ariel Millahuel – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1
Les règles ont des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tactiques : Exécution, Escalade de privilèges, Persistance
Techniques : Interface en ligne de commande (T1059), Clés de registre Run / Dossier de démarrage (T1060), Tâche planifiée (T1053)
Nous souhaitons également attirer votre attention sur les règles disponibles pour détecter Gh0st RAT :
Détecteur Gh0st RAT (Sysmon) par l’équipe SOC Prime – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/
Détecteur de Malware Gh0stRAT (Comportement Sysmon) (juillet 2019) by Lee Archinal – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/
