Содержание
Цели:
- Шпионаж
Общее описание
Кибершпионская группа Higaisa активна как минимум с 2009 года. Нацелена на государственные, общественные и торговые организации в Северной Корее. В списке атакованных стран также Китай, Польша, Россия, Япония.
Инструменты
- Higaisa downloader
- Gh0st RAT
- InfoStealer
- Keylogger
- RoyalRoad
Атакуемые отрасли
- Государственный сектор
Атакуемые страны
- КНДР
- Россия
- Китай
- Япония
- Польша
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/covid-19-i-novogodnie-pozdravleniya-issleduem-instrumenty-gruppirovki-higaisa/
- https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/
- https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication
- https://s.tencent.com/research/report/836.html
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1566.001 | Phishing: Spearphishing Attachment | Группа Higaisa рассылает электронные письма с вредоносными вложениями в форматах RTF, LNK и SCR |
| Execution | ||
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Higaisa использует cmd.exe для запуска следующего уровня полезной нагрузки |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Higaisa использует VBS скрипты |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | Группа Higaisa использует JS скрипты |
| T1106 | Native API | Группа Higaisa использует API Windows для выполнения различных задач |
| T1129 | Shared Modules | Группа Higaisa использует DLL-плагины для Gh0st RAT |
| T1203 | Exploitation for Client Execution | Группа Higaisa рассылает RTF-документы с эксплойтом для уязвимости CVE-2018-0798 |
| T1569.002 | System Services: Service Execution | Группа Higaisa использует svchost.exe для исполнения вредоносных DLL |
| T1204.002 | User Execution: Malicious File | Группа Higaisa пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте |
| Persistence | ||
| T1543.003 | Create or Modify System Process: Windows Service | Группа Higaisa использует сервисы для закрепления в системе |
| T1137.006 | Office Application Startup: Add-ins | Группа Higaisa использует билдер RoyalRoad для извлечения в папку плагинов Word файла intel.wll со следующей стадией заражения |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Higaisa может закрепиться в системе через реестр или папку STARTUP |
| Privilege escalation | ||
| T1543.003 | Create or Modify System Process: Windows Service | Группа Higaisa может создавать новые сервисы для закрепления своих вредоносных DLL |
| Defense evasion | ||
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа Higaisa использует легитимные исполняемые файлы совместно с вредоносными dll-библиотеками |
| T1140 | Deobfuscate/Decode Files or Information | Группа Higaisa использует certutil -decode для декодирования полезной нагрузки из LNK-файлов, copy /b для формирования PE-файла из фрагментов и другие методы |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Higasia может использовать в своем ВПО самоудаление с помощью команды del |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Дропперы группы Higaisa могут устанавливать аттрибуты скрытого файла для извлекаемой нагрузки |
| T1027.001 | Obfuscated Files or Information: Binary Padding | Дропперы группы Higaisa могут добавлять 2 случайных байта в конец извлекаемой нагрузки |
| T1027.002 | Obfuscated Files or Information: Software Packing | Группа Higaisa может использовать UPX для упаковки своего ВПО |
| T1220 | XSL Script Processing | Группа Higaisa использует XSL-файлы для обхода AppLocker |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Higaisa использует Rundll32.exe для запуска ВПО |
| Credential access | ||
| T1056.001 | Input Capture: Keylogging | Группа Higaisa может загружать собственный кейлоггер на зараженный компьютер |
| Discovery | ||
| T1083 | File and Directory Discovery | Инфостилер Higaisa собирает вывод команды dir для дисков C:, D:, E: и папки c:\users |
| T1057 | Process Discovery | Инфостилер Higaisa получает информацию о процессах с помощью команды tasklist |
| T1018 | Remote System Discovery | Инфостилер Higaisa собирает вывод команды net view |
| T1082 | System Information Discovery | Инфостилер Higaisa собирает вывод команды systeminfo |
| T1016 | System Network Configuration Discovery | Инфостилер Higaisa собирает вывод команды ipconfig -all |
| Collection | ||
| T1119 | Automated Collection | Группа Higaisa использует собственный инфостилер для автоматического сбора информации о системе |
| T1056.001 | Input Capture: Keylogging | Группа Higaisa может загружать собственный кейлоггер на зараженный компьютер |
| T1560.002 | Archive Collected Data: Archive via Library | Инфостилер Higaisa может архивировать собранную информацию с помощью ZIP и шифровать архив с помощью RC4 |
| Command and control | ||
| T1095 | Non-Application Layer Protocol | Группа Higaisa использует протокол TCP в Gh0st RAT |
| T1132.001 | Data Encoding: Standard Encoding | Группа Higaisa использует Base64 в своих загрузчиках, XOR для первых байтов и сжатие LZO в Gh0st RAT |
| T1008 | Fallback Channels | Группа Higaisa использует два различных C2 в своем ВПО |
| T1071.001 | Application Layer Protocol: Web Protocols | Группа Higaisa использует протокол HTTP в своем ВПО |
| T1573.001 | Encrypted Channel: Symmetric Cryptography | Группа Higaisa использует RC4 для шифрования загружаемых с C2 файлов |
| Exfiltration | ||
| T1020 | Automated Exfiltration | Инфостилер Higaisa автоматически отправляет собранную информацию на C2 |
| T1041 | Exfiltration Over Command and Control Channel | Инфостилер Higaisa загружает собранную информацию на C2, используя HTTP POST |
