Japonijos įmonių tinkluose aptikta „Flagpro“ kenkėjiška programa

Paskutinėmis 2021 m. dienomis saugumo tyrinėtojai nustatė naują kenkėjiškų programų šeimą, kuri naudojama atakoms prieš Japonijos įmones. Panašus šių išpuolių kaltininkas yra „Advanced Persistent Threat“ (APT) grupė, sekama slapyvardžiu „ BlackTech“ . Jie specializuojasi šnipinėjime, o naujausias jų implantas vadinamas Flagpro.

„Flagpro“ kenkėjiška programa aukoms pristatoma per sukčiavimo el. laiškus, kurie, atrodo, yra pritaikyti kiekvienai aukai. Nusikaltėliai apsimeta, kad siunčia žinutes iš patikimų partnerių, taip padidindami tikimybę, kad aukos susidurs su žinute. Suklastotame el. laiške yra slaptažodžiu apsaugotas archyvas, kuriame turėtų būti svarbus turinys. Tačiau jį atidarę aukos matys XLSM dokumentą, kuris pateikia „Flagpro“ kenkėjišką programą sumaniai naudojant makrokomandos scenarijus.

Jei makrokomanda sėkmingai vykdoma, „Flagpro“ kenkėjiškos programos naudingoji apkrova bus numesta į „Windows“ paleisties katalogą, todėl ji bus nuolatinė. Tada grėsmė prisijungia prie nuotolinio serverio per HTTP protokolą ir siunčia tam tikrą pagrindinę informaciją apie aukos įrenginį. Tada nusikaltėliai gali naudoti „Flagpro“ kenkėjišką programą, kad nuotoliniu būdu vykdytų komandas arba pristatytų papildomus krovinius.

Pirmieji „Flagpro“ kenkėjiškos programos variantai datuojami 2020 m. birželio mėn., ir panašu, kad nuo to laiko nusikaltėliai išleido keletą atnaujinimų. Vienas iš naujausių variantų gali automatiškai uždaryti „Windows“ dialogo langus, kuriuose gali atsirasti implanto veikla, ir atskleisti jo buvimą. Tariamai ji gali aptikti konkrečius dialogų pavadinimus Japonijoje, Taivane, kinų ir anglų kalbomis – tai greičiausiai reikš, kad „Flagpro“ kenkėjiška programa ruošiasi pulti ir kitas šalis. Geriausias būdas apsaugoti tinklus ir sistemas nuo BlackTech atakų – investuoti į sustiprintas saugos priemones, taip pat užtikrinti, kad visi darbuotojai būtų susipažinę su pagrindiniais kibernetinių nusikaltėlių naudojamais kenkėjiškų programų platinimo mechanizmais. Ankstesnė „BlackTech“ implantų šeima yra „ Gh0stTimes“ kenkėjiška programa .