脅威ハンティングコンテンツ: Higaisa APT

Higaisa APTは2019年11月から知られており、Tencentの研究者が初めて その活動を文書化しました。最近このグループが発見されましたが、攻撃者は数年間活動を続けており、帰属を複雑化するために一般的なツールを使用しています。彼らは主にモバイルマルウェアとGh0stおよびPlugXトロイの木馬を使用します。研究者たちは、Higaisa APTが南韓の国家支援グループであり、政府当局者と人権団体に焦点を当てていると考えています。 its activities. The group was discovered recently, but attackers have been operating for several years and use common tools to complicate the attribution. They mainly use mobile malware and the Gh0st and PlugX trojans. Researchers believe that Higaisa APT is a South Korean state-sponsored group that is focused on government officials and human rights organizations. 

5月中旬以降、このグループは スピアフィッシングキャンペーンを実施し、 悪意のある添付ファイルとしてアーカイブにまとめられたLNKファイルを配布しました。このキャンペーンの標的は、Zeplin協力プラットフォームを使用する組織です。悪意のあるアーカイブには、2つのMicrosoftショートカットファイルとPDFが含まれており、すべてZeplinプラットフォームを参照します。被害者がショートカットファイルを実行すると、最終的にGh0st RATエージェントを展開する多段階感染チェーンが開始されます。 

マルウェアはWindowsのスタートアップフォルダにある正規のバイナリを装って、スケジュールされたタスクを通じて持続性を達成します。感染プロセス中、マルウェアは3つの異なるC&Cサーバーと通信します。APTグループは類似の攻撃を 3月に COVID19をテーマにしたフィッシングメールを使って行いました。今週、私たちの 脅威報奨プログラム のメンバーが、Higaisa APTの攻撃を検出するための2つの異なるルールを公開しました：

Higaisa APTに関連する新しいLNK攻撃 by オスマン・デミル – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by アリエル・ミラーエル – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

ルールは次のプラットフォームの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術： 実行、特権昇格、持続性 

手法：コマンドラインインターフェース (T1059), レジストリ実行キー / スタートアップフォルダ (T1060), スケジュールされたタスク (T1053) 

また、Gh0st RATを検出するルールに注意を喚起したいと思います：

Gh0st RAT検出器 (Sysmon) SOC Primeチームによる – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Gh0stRATマルウェア検出器 (Sysmonの動作) (2019年7月) by リー・アルキナール – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/