【安全资讯】疑似黑格莎（HIGAISA）于2019年圣诞期间对针对性目标发起攻击（2020-03-10）

安恒威胁情报中心猎影实验室捕获到一个以圣诞为主题的样本，根据文档时间和释放载荷的编译时间，以及诱饵文档的内容，猜测真实攻击时间在2019年圣诞期间。根据一定关联发现该次攻击可能和黑格莎（Higaisa）组织有关。

诱饵文档以圣诞为主题，内容为圣诞祝福。

该样本利用CVE-2018-0798漏洞进行攻击，攻击的攻击链路如下：

攻击链的前半阶段，使用CVE-2018-0798释放wll文件，这类形式在多个组织都出现过，容易造成干扰，在已披露的黑格莎的攻击样本中也比较少见，但也有案例。并且更加引起注意的是该样本和某些组织使用的有更进一步的共同点，如8.t的Encode码相同，8.t的源路径相同，释放的temp路径相同，shellcode相同，但是最终的载荷不同。

那么这存在一些可能，

1）这些组织间存在一定的联系，
2）这些组织购置了同类型的武器，
3）一些组织在获得了一些样本对其分析后自己写了个生成工具，

或者其它更多可能,仍需要进一步分析。后半阶段使用白加黑的手法并下载后一阶段载荷，黑格莎存在这样的手法。

关于“黑格莎”源于友商从攻击组织喜欢使用的RC4密钥“Higaisakora”来进行定义。将“Higaisakora”进行拆分，可以形成“Higa is a kora”，看上去似乎有一定的合理性，Higa可能是一个名字，使用地方比较广泛，如冲绳地区的姓，

通过一定分析，可以有一定的理由怀疑次圣诞攻击活动可能和黑格莎（Higaisa）组织相关。