Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    XSpider

    Сканер уязвимостей

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Higaisa

Higaisa

Атакуемые отрасли:
  • Государственный сектор

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж

Общее описание

Кибершпионская группа Higaisa активна, как минимум, с 2009 года. Нацелена на государственные, общественные и торговые организации в Северной Корее. В списке атакованных стран также Китай, Япония, Россия, Польша и другие.

Инструменты

  • Higaisa downloader
  • Gh0st RAT
  • InfoStealer
  • Keylogger
  • RoyalRoad

Атакуемые отрасли

  • Государственный сектор

Атакуемые страны

  • КНДР
  • Россия
  • Китай
  • Япония
  • Польша

Альтернативные названия группы

  • Отсутствуют

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/covid-19-i-novogodnie-pozdravleniya-issleduem-instrumenty-gruppirovki-higaisa/
  • https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/
  • https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication
  • https://s.tencent.com/research/report/836.html

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Phishing: Spearphishing Attachment Группа Higaisa рассылает электронные письма с вредоносными вложениями в форматах RTF, LNK и SCR
Execution
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Higaisa использует cmd.exe для запуска следующего уровня полезной нагрузки
T1059.005 Command and Scripting Interpreter: Visual Basic Группа Higaisa использует VBS скрипты
T1059.007 Command and Scripting Interpreter: JavaScript/JScript Группа Higaisa использует JS скрипты
T1106 Native API Группа Higaisa использует API Windows для выполнения различных задач
T1129 Shared Modules Группа Higaisa использует DLL-плагины для Gh0st RAT
T1203 Exploitation for Client Execution Группа Higaisa рассылает RTF-документы с эксплойтом для уязвимости CVE-2018-0798
T1569.002 System Services: Service Execution Группа Higaisa использует svchost.exe для исполнения вредоносных DLL
T1204.002 User Execution: Malicious File Группа Higaisa пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
Persistence
T1543.003 Create or Modify System Process: Windows Service Группа Higaisa использует сервисы для закрепления в системе
T1137.006 Office Application Startup: Add-ins Группа Higaisa использует билдер RoyalRoad для извлечения в папку плагинов Word файла intel.wll со следующей стадией заражения
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Higaisa может закрепиться в системе через реестр или папку STARTUP
Privilege escalation
T1543.003 Create or Modify System Process: Windows Service Группа Higaisa может создавать новые сервисы для закрепления своих вредоносных DLL
Defense evasion
T1574.002 Hijack Execution Flow: DLL Side-Loading Группа Higaisa использует легитимные исполняемые файлы совместно с вредоносными dll-библиотеками
T1140 Deobfuscate/Decode Files or Information Группа Higaisa использует certutil -decode для декодирования полезной нагрузки из LNK-файлов, copy /b для формирования PE-файла из фрагментов и другие методы
T1070.004 Indicator Removal on Host: File Deletion Группа Higasia может использовать в своём ВПО самоудаление с помощью команды del
T1564.001 Hide Artifacts: Hidden Files and Directories Дропперы группы Higaisa могут устанавливать аттрибуты скрытого файла для извлекаемой нагрузки
T1027.001 Obfuscated Files or Information: Binary Padding Дропперы группы Higaisa могут добавлять 2 случайных байта в конец извлекаемой нагрузки
T1027.002 Obfuscated Files or Information: Software Packing Группа Higaisa может использовать UPX для упаковки своего ВПО
T1220 XSL Script Processing Группа Higaisa использует XSL-файлы для обхода AppLocker
T1218.011 Signed Binary Proxy Execution: Rundll32 Группа Higaisa использует Rundll32.exe для запуска ВПО
Credential access
T1056.001 Input Capture: Keylogging Группа Higaisa может загружать собственный кейлоггер на заражённую машину
Discovery
T1083 File and Directory Discovery Инфостилер Higaisa собирает вывод команды dir для дисков C:, D:, E: и папки c:\users
T1057 Process Discovery Инфостилер Higaisa получает информацию о процессах с помощью команды tasklist
T1018 Remote System Discovery Инфостилер Higaisa собирает вывод команды net view
T1082 System Information Discovery Инфостилер Higaisa собирает вывод команды systeminfo
T1016 System Network Configuration Discovery Инфостилер Higaisa собирает вывод команды ipconfig -all
Collection
T1119 Automated Collection Группа Higaisa использует собственный инфостилер для автоматического сбора информации о системе
T1056.001 Input Capture: Keylogging Группа Higaisa может загружать собственный кейлоггер на заражённую машину
T1560.002 Archive Collected Data: Archive via Library Инфостилер Higaisa может архивировать собранную информацию с помощью ZIP, и шифровать архив с помощью RC4
Command and control
T1095 Non-Application Layer Protocol Группа Higaisa использует протокол TCP в Gh0st RAT
T1132.001 Data Encoding: Standard Encoding Группа Higaisa использует base64 в своих загрузчиках, XOR для первых байт и сжатие LZO в Gh0st RAT
T1008 Fallback Channels Группа Higaisa использует 2 различных C2 в своём ВПО
T1071.001 Application Layer Protocol: Web Protocols Группа Higaisa использует протокол HTTP в своём ВПО
T1573.001 Encrypted Channel: Symmetric Cryptography Группа Higaisa использует RC4 для шифрования загружаемых с C2 файлов
Exfiltration
T1020 Automated Exfiltration Инфостилер Higaisa автоматически отправляет собранную информацию на C2
T1041 Exfiltration Over Command and Control Channel Инфостилер Higaisa загружает собранную информацию на C2 используя HTTP POST

Группировки, атакующие такие же отрасли:

  • Calypso
  • Goblin Panda
  • RTM (Read The Manual)
  • TaskMasters
  • Winnti
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • XSpider
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Network Attack Discovery
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта