【安全资讯】黑客组织Higaisa近期攻击活动报告

腾讯安全威胁情报中心检测到APT组织higaisa（黑格莎）在被披露后经过改头换面再次发动新一轮的攻击，在这轮攻击中，该组织舍弃了使用多年的dropper，完全重写了攻击诱饵，还引入了dll侧加载（白加黑）技术对抗安全软件的检测和查杀。与以往的攻击手段类似，higaisa（黑格莎）依然以节假日祝福为主题诱饵进行鱼叉式钓鱼攻击，欺骗用户下载并打开附件木马。该组织对dropper木马进行了重写，舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式，直接从数据段中解密（XOR 0x1A）释放恶意文件到指定目录并执行。本轮攻击dropper利用“白+黑”的方式加载Downloader模块，该组织对其Downloader也进行了改版，新一批downloader下载功能均基于老版本的curl开源代码实现，最终下载了infostealer和gh0st RAT， infostealer文件的主要行为是获取计算机信息，并发送到C2地址185.247.230.252。
研究人员发现，后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统，目前一共在受害者机器上发现了3个不同版本的gh0st木马。