日本の企業ネットワークで発見されたFlagproマルウェア
2021年の最後の数日間、セキュリティ研究者は、日本企業に対する攻撃に使用されている新しいマルウェアファミリを特定しました。これらの攻撃の同様の原因は、別名BlackTechで追跡されているAdvanced Persistent Threat(APT)グループです。彼らはスパイ活動を専門としており、最新のインプラントはFlagproという名前で呼ばれています。
Flagproマルウェアは、被害者ごとにカスタマイズされているように見えるフィッシングメールを介して被害者に配信されます。犯罪者は信頼できるパートナーからメッセージを送信するふりをしているため、被害者がメッセージを操作する可能性が高くなります。偽の電子メールには、パスワードで保護されたアーカイブが含まれています。このアーカイブには、重要なコンテンツが含まれているはずです。ただし、それを開いた被害者には、マクロスクリプトを巧みに使用してFlagproマルウェアを配信するXLSMドキュメントが表示されます。
マクロが正常に実行されると、Flagpro MalwareペイロードがWindowsのスタートアップディレクトリにドロップされるため、永続性が得られます。次に、脅威はHTTPプロトコルを介してリモートサーバーに接続し、被害者のマシンに関する基本的な情報を送信します。その後、犯罪者はFlagproマルウェアを使用して、コマンドをリモートで実行したり、追加のペイロードを配信したりできます。
Flagproマルウェアの最初の亜種は2020年6月にさかのぼり、それ以来、犯罪者はいくつかのアップデートをリリースしたようです。最新のバリアントの1つは、インプラントのアクティビティが生成してその存在を明らかにする可能性のあるWindowsダイアログを自動的に閉じることができます。伝えられるところによると、日本、台湾、中国語、英語の特定の対話名を検出できます。これは、Flagproマルウェアが他の国も攻撃しようとしていることを意味している可能性があります。 BlackTech攻撃からネットワークとシステムを保護する最善の方法は、強化されたセキュリティ対策に投資することと、すべての従業員がサイバー犯罪者が使用する主要なマルウェア伝播メカニズムに精通していることを確認することです。以前のBlackTechインプラントファミリーはGh0stTimesマルウェアです。