【安全资讯】黑客组织Higaisa近期攻击活动报告

安恒情报中心 2020-02-27 04:08:29 1944人浏览
腾讯安全威胁情报中心检测到APT组织higaisa(黑格莎)在被披露后经过改头换面再次发动新一轮的攻击,在这轮攻击中,该组织舍弃了使用多年的dropper,完全重写了攻击诱饵,还引入了dll侧加载(白加黑)技术对抗安全软件的检测和查杀。与以往的攻击手段类似,higaisa(黑格莎)依然以节假日祝福为主题诱饵进行鱼叉式钓鱼攻击,欺骗用户下载并打开附件木马。该组织对dropper木马进行了重写,舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式,直接从数据段中解密(XOR 0x1A)释放恶意文件到指定目录并执行。本轮攻击dropper利用“白+黑”的方式加载Downloader模块,该组织对其Downloader也进行了改版,新一批downloader下载功能均基于老版本的curl开源代码实现,最终下载了infostealer和gh0st RAT, infostealer文件的主要行为是获取计算机信息,并发送到C2地址185.247.230.252。
研究人员发现,后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统,目前一共在受害者机器上发现了3个不同版本的gh0st木马。
失陷指标(IOC)20
APT APT情报 Higaisa 鱼叉式网络钓鱼 部委级单位 政党组织 省市级单位 事业单位
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。