Содержание
Цели:
- Шпионаж
Общее описание
Кибершпионская группа Higaisa активна как минимум с 2009 года. Нацелена на государственные, общественные и торговые организации в Северной Корее. В списке атакованных стран также Китай, Польша, Россия, Япония.
Инструменты
- Higaisa downloader
- Gh0st RAT
- InfoStealer
- Keylogger
- RoyalRoad
Атакуемые отрасли
- Государственный сектор
Атакуемые страны
- КНДР
- Россия
- Китай
- Япония
- Польша
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/covid-19-i-novogodnie-pozdravleniya-issleduem-instrumenty-gruppirovki-higaisa/
- https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/
- https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication
- https://s.tencent.com/research/report/836.html
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Группа Higaisa рассылает электронные письма с вредоносными вложениями в форматах RTF, LNK и SCR |
Execution | ||
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Higaisa использует cmd.exe для запуска следующего уровня полезной нагрузки |
T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Higaisa использует скрипты Visual Basic |
T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | Группа Higaisa использует JS-скрипты |
T1106 | Native API | Группа Higaisa использует API Windows для выполнения различных задач |
T1129 | Shared Modules | Группа Higaisa использует DLL-плагины для Gh0st RAT |
T1203 | Exploitation for Client Execution | Группа Higaisa рассылает RTF-документы с эксплойтом для уязвимости CVE-2018-0798 |
T1569.002 | System Services: Service Execution | Группа Higaisa использует svchost.exe для исполнения вредоносных DLL |
T1204.002 | User Execution: Malicious File | Группа Higaisa пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте |
Persistence | ||
T1543.003 | Create or Modify System Process: Windows Service | Группа Higaisa использует сервисы для закрепления в системе |
T1137.006 | Office Application Startup: Add-ins | Группа Higaisa использует билдер RoyalRoad для извлечения в папку плагинов Word файла intel.wll со следующей стадией заражения |
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Higaisa может закрепиться в системе через реестр или папку STARTUP |
Privilege escalation | ||
T1543.003 | Create or Modify System Process: Windows Service | Группа Higaisa может создавать новые сервисы для закрепления своих вредоносных DLL |
Defense evasion | ||
T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа Higaisa использует легитимные исполняемые файлы совместно с вредоносными dll-библиотеками |
T1140 | Deobfuscate/Decode Files or Information | Группа Higaisa использует certutil -decode для декодирования полезной нагрузки из LNK-файлов, copy /b для формирования PE-файла из фрагментов и другие методы |
T1070.004 | Indicator Removal on Host: File Deletion | Группа Higasia может использовать в своем ВПО самоудаление с помощью команды del |
T1564.001 | Hide Artifacts: Hidden Files and Directories | Дропперы группы Higaisa могут устанавливать атрибуты скрытого файла для извлекаемой нагрузки |
T1027.001 | Obfuscated Files or Information: Binary Padding | Дропперы группы Higaisa могут добавлять 2 случайных байта в конец извлекаемой нагрузки |
T1027.002 | Obfuscated Files or Information: Software Packing | Группа Higaisa может использовать UPX для упаковки своего ВПО |
T1220 | XSL Script Processing | Группа Higaisa использует XSL-файлы для обхода AppLocker |
T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Higaisa использует Rundll32.exe для запуска ВПО |
Credential access | ||
T1056.001 | Input Capture: Keylogging | Группа Higaisa может загружать собственный кейлоггер на зараженный компьютер |
Discovery | ||
T1083 | File and Directory Discovery | Инфостилер Higaisa собирает вывод команды dir для дисков C:, D:, E: и папки c:\users |
T1057 | Process Discovery | Инфостилер Higaisa получает информацию о процессах с помощью команды tasklist |
T1018 | Remote System Discovery | Инфостилер Higaisa собирает вывод команды net view |
T1082 | System Information Discovery | Инфостилер Higaisa собирает вывод команды systeminfo |
T1016 | System Network Configuration Discovery | Инфостилер Higaisa собирает вывод команды ipconfig -all |
Collection | ||
T1119 | Automated Collection | Группа Higaisa использует собственный инфостилер для автоматического сбора информации о системе |
T1056.001 | Input Capture: Keylogging | Группа Higaisa может загружать собственный кейлоггер на зараженный компьютер |
T1560.002 | Archive Collected Data: Archive via Library | Инфостилер Higaisa может архивировать собранную информацию с помощью ZIP и шифровать архив с помощью RC4 |
Command and control | ||
T1095 | Non-Application Layer Protocol | Группа Higaisa использует протокол TCP в Gh0st RAT |
T1132.001 | Data Encoding: Standard Encoding | Группа Higaisa использует Base64 в своих загрузчиках, XOR для первых байтов и сжатие LZO в Gh0st RAT |
T1008 | Fallback Channels | Группа Higaisa использует два различных C2 в своем ВПО |
T1071.001 | Application Layer Protocol: Web Protocols | Группа Higaisa использует протокол HTTP в своем ВПО |
T1573.001 | Encrypted Channel: Symmetric Cryptography | Группа Higaisa использует RC4 для шифрования загружаемых с C2 файлов |
Exfiltration | ||
T1020 | Automated Exfiltration | Инфостилер Higaisa автоматически отправляет собранную информацию на C2 |
T1041 | Exfiltration Over Command and Control Channel | Инфостилер Higaisa загружает собранную информацию на C2, используя HTTP POST |