Threat Hunting Content: Higaisa APT

Higaisa APT는 2019년 11월, Tencent 연구원이 처음으로 문서화했습니다 . 이 그룹은 최근에 발견되었지만, 공격자들은 몇 년 동안 운영되어 왔으며, 귀속을 복잡하게 하기 위해 일반적인 도구를 사용하고 있습니다. 주로 모바일 악성코드와 Gh0st 및 PlugX 트로이 목마를 사용합니다. 연구원들은 Higaisa APT가 정부 관료와 인권 단체에 집중하는 한국의 국가 후원 그룹이라고 믿고 있습니다. 

5월 중순부터 이 그룹은 스피어 피싱 캠페인을 실시하여 공격적인 첨부 파일로 아카이브에 포함된 LNK 파일을 배포했습니다. 이 캠페인의 목표는 Zeplin 협업 플랫폼을 사용하는 조직입니다. 악성 아카이브는 두 개의 Microsoft 바로 가기 파일과 PDF를 포함하고 있으며, 모두 Zeplin 플랫폼을 참조합니다. 피해자가 바로 가기 파일을 실행하면, 결국 Gh0st RAT 에이전트를 배포하는 다단계 감염 체인이 시작됩니다. 

멀웨어는 Windows 시작 폴더에 있는 합법적인 바이너리로 위장하면서 예약된 작업을 통해 지속성을 확보합니다. 감염 과정에서 멀웨어는 세 개의 다른 C&C 서버와 통신합니다. APT 그룹은 유사한 공격을 3월에 COVID19 테마의 피싱 이메일을 사용하여 수행했습니다. 이번 주에는 우리의 위협 바운티 프로그램 회원들이 Higaisa APT의 공격을 탐지하기 위한 두 가지 다른 규칙을 발표했습니다:

Higaisa APT로 연결된 새로운 LNK 공격 by Osman Demir – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by Ariel Millahuel – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

이 규칙들은 다음 플랫폼에 대한 번역을 가지고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 권한 상승, 지속성 

기법: 명령줄 인터페이스 (T1059), 레지스트리 실행 키 / 시작 폴더 (T1060), 예약 작업 (T1053) 

Gh0st RAT 탐지에 사용할 수 있는 규칙에도 주목해 주세요:

Gh0st RAT 탐지기 (Sysmon) SOC Prime 팀 – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Gh0stRAT 악성코드 탐지기 (Sysmon 동작) (2019년 7월) by Lee Archinal – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/