脅威ハンティングコンテンツ: Higaisa APT

[post-views]
6月 11, 2020 · 5 分で読めます
脅威ハンティングコンテンツ: Higaisa APT

Higaisa APTは2019年11月から知られており、Tencentの研究者が初めて その活動を文書化しました。最近このグループが発見されましたが、攻撃者は数年間活動を続けており、帰属を複雑化するために一般的なツールを使用しています。彼らは主にモバイルマルウェアとGh0stおよびPlugXトロイの木馬を使用します。研究者たちは、Higaisa APTが南韓の国家支援グループであり、政府当局者と人権団体に焦点を当てていると考えています。 its activities. The group was discovered recently, but attackers have been operating for several years and use common tools to complicate the attribution. They mainly use mobile malware and the Gh0st and PlugX trojans. Researchers believe that Higaisa APT is a South Korean state-sponsored group that is focused on government officials and human rights organizations. 

5月中旬以降、このグループは スピアフィッシングキャンペーンを実施し、 悪意のある添付ファイルとしてアーカイブにまとめられたLNKファイルを配布しました。このキャンペーンの標的は、Zeplin協力プラットフォームを使用する組織です。悪意のあるアーカイブには、2つのMicrosoftショートカットファイルとPDFが含まれており、すべてZeplinプラットフォームを参照します。被害者がショートカットファイルを実行すると、最終的にGh0st RATエージェントを展開する多段階感染チェーンが開始されます。 

マルウェアはWindowsのスタートアップフォルダにある正規のバイナリを装って、スケジュールされたタスクを通じて持続性を達成します。感染プロセス中、マルウェアは3つの異なるC&Cサーバーと通信します。APTグループは類似の攻撃を 3月に COVID19をテーマにしたフィッシングメールを使って行いました。今週、私たちの 脅威報奨プログラム のメンバーが、Higaisa APTの攻撃を検出するための2つの異なるルールを公開しました:

Higaisa APTに関連する新しいLNK攻撃 by オスマン・デミルhttps://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by アリエル・ミラーエルhttps://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

 

ルールは次のプラットフォームの翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行、特権昇格、持続性 

手法:コマンドラインインターフェース (T1059), レジストリ実行キー / スタートアップフォルダ (T1060), スケジュールされたタスク (T1053

 

また、Gh0st RATを検出するルールに注意を喚起したいと思います:

Gh0st RAT検出器 (Sysmon) SOC Primeチームによる – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Gh0stRATマルウェア検出器 (Sysmonの動作) (2019年7月) by リー・アルキナールhttps://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事