Conteúdo de Caça a Ameaças: Higaisa APT

Higaisa APT é conhecida desde novembro de 2019, quando pesquisadores da Tencent primeiramente documentaram suas atividades. O grupo foi descoberto recentemente, mas os atacantes têm operado por vários anos e usam ferramentas comuns para complicar a atribuição. Eles usam principalmente malware móvel e os trojans Gh0st e PlugX. Pesquisadores acreditam que a Higaisa APT é um grupo patrocinado pelo estado sul-coreano que está focado em funcionários do governo e organizações de direitos humanos. 

Desde meados de maio, o grupo tem conduzido campanhas de spear-phishing distribuíram o arquivo LNK empacotado em um arquivo como anexos maliciosos. Os alvos desta campanha são organizações que usam a plataforma de colaboração Zeplin. O arquivo malicioso contém dois arquivos de atalho do Microsoft e um PDF, todos referenciando a plataforma Zeplin. Se a vítima executar um arquivo de atalho, uma cadeia de infecção em múltiplas etapas que implanta, em última instância, um agente Gh0st RAT, é iniciada. 

O malware alcança persistência através de uma tarefa agendada enquanto se apresenta como um binário legítimo na pasta de inicialização do Windows. Durante o processo de infecção, o malware se comunica com três diferentes servidores C&C. O grupo APT realizou ataques semelhantes em março usando e-mails de phishing com tema da COVID19. Esta semana nosso Programa de Recompensa por Ameaças membros publicaram duas regras diferentes para detectar ataques da Higaisa APT:

Novo Ataque LNK Ligado à Higaisa APT by Osman Demir – https://tdm.socprime.com/tdm/info/DCrvR47zKW5q/lTrimHIBSh4W_EKG1R3C/

Higaisa APT by Ariel Millahuel – https://tdm.socprime.com/tdm/info/zvxRI6qRESXI/ezrUmHIBSh4W_EKGlBXy/?p=1

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Escalação de Privilégio, Persistência 

Técnicas: Interface de Linha de Comando (T1059), Chaves de Registro / Pasta de Inicialização (T1060), Tarefa Agendada (T1053) 

Também queremos chamar sua atenção para as regras disponíveis para detectar Gh0st RAT:

Detector de Gh0st RAT (Sysmon) pela Equipe SOC Prime – https://tdm.socprime.com/tdm/info/w1HaVAlcSjde/2p3knmUBtApo-eN_hd_p/

Detector de Malware Gh0stRAT (Comportamento do Sysmon) (julho de 2019) by Lee Archinal – https://tdm.socprime.com/tdm/info/sEWWYnbKsZ4m/9zgZdmwBLQqskxffYLhQ/