Flagpro-malware oppdaget på japanske bedriftsnettverk

I de siste dagene av 2021 har sikkerhetsforskere identifisert en ny malware-familie, som brukes i angrep mot japanske selskaper. Den samme skyldige i disse angrepene er Advanced Persistent Threat (APT)-gruppen sporet under aliaset BlackTech . De spesialiserer seg på spionasje, og deres siste implantat går under navnet Flagpro.

Flagpro Malware leveres til ofre gjennom phishing-e-poster, som ser ut til å være tilpasset hvert offer. De kriminelle later som de sender meldingene fra pålitelige partnere, og forbedrer derfor sjansene for at ofrene vil ende opp med å samhandle med meldingen. Den falske e-posten inneholder et passordbeskyttet arkiv, som skal inneholde viktig innhold. Imidlertid vil ofre som åpner det se et XLSM-dokument, som leverer Flagpro Malware gjennom smart bruk av makroskript.

Hvis makroen utføres vellykket, vil Flagpro Malware-nyttelasten slippes i oppstartskatalogen til Windows, og blir derfor utholdende. Trusselen kobles deretter til en ekstern server gjennom HTTP-protokollen, og sender litt grunnleggende informasjon om offerets maskin. De kriminelle kan deretter bruke Flagpro Malware til å utføre kommandoer eksternt, eller for å levere ekstra nyttelast.

De første variantene av Flagpro Malware dateres tilbake til juni 2020, og det ser ut til at kriminelle har gitt ut flere oppdateringer siden den gang. En av de nyeste variantene er i stand til automatisk å lukke Windows-dialoger som implantatets aktivitet kan skape og avsløre dets tilstedeværelse. Angivelig er den i stand til å oppdage de spesifikke dialognavnene i Japan, Taiwan, kinesisk og engelsk - dette vil sannsynligvis bety at Flagpro Malware er i ferd med å angripe andre land også. Den beste måten å beskytte nettverk og systemer mot BlackTech-angrep på er å investere i forbedrede sikkerhetstiltak, samt å sikre at alle ansatte er kjent med de primære spredningsmekanismene for skadelig programvare nettkriminelle bruker. En tidligere BlackTech-implantatfamilie er Gh0stTimes Malware .