Contenuto di Threat Hunting: Higaisa APT

Higaisa APT è noto da novembre 2019, quando i ricercatori di Tencent lo hanno per la prima volta documentato le sue attività. Il gruppo è stato scoperto di recente, ma gli aggressori operano da diversi anni e usano strumenti comuni per complicare l’attribuzione. Utilizzano principalmente malware per dispositivi mobili e i trojan Gh0st e PlugX. I ricercatori credono che Higaisa APT sia un gruppo sponsorizzato dallo stato sudcoreano focalizzato su funzionari governativi e organizzazioni per i diritti umani.

Da metà maggio, il gruppo ha condotto campagne di spear-phishing che distribuiscono il file LNK bundato in un archivio come allegati malevoli. Gli obiettivi di questa campagna sono le organizzazioni che utilizzano la piattaforma di collaborazione Zeplin. L’archivio malevolo contiene due file di collegamento Microsoft e un PDF, tutti che fanno riferimento alla piattaforma Zeplin. Se la vittima esegue un file di collegamento, viene avviata una catena di infezione a più fasi che alla fine distribuisce un agente Gh0st RAT.

Il malware ottiene persistenza tramite un’attività pianificata mentre si maschera da binario legittimo nella cartella di avvio di Windows. Durante il processo di infezione, il malware comunica con tre diversi server C&C. Il gruppo APT ha eseguito attacchi simili a marzo usando email di phishing a tema COVID19. Questa settimana il nostro Threat Bounty Program i membri hanno pubblicato due diverse regole per rilevare gli attacchi dell’Higaisa APT:

Nuovo attacco LNK legato a Higaisa APT by Osman Demir – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by Ariel Millahuel – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Escalation dei Privilegi, Persistenza

Tecniche: Interfaccia da Riga di Comando (T1059), Chiavi di Esecuzione del Registro / Cartella di Avvio (T1060), Attività pianificata (T1053)

Desideriamo anche richiamare la vostra attenzione sulle regole disponibili per rilevare Gh0st RAT:

Rilevatore Gh0st RAT (Sysmon) da SOC Prime Team – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Rilevatore Malware Gh0stRAT (Comportamento Sysmon) (luglio 2019) by Lee Archinal – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/