Złośliwe oprogramowanie Flagpro wykryte w japońskich sieciach firmowych

W ostatnich dniach 2021 r. analitycy bezpieczeństwa zidentyfikowali nową rodzinę złośliwego oprogramowania, która jest wykorzystywana w atakach na japońskie firmy. Podobnym winowajcą tych ataków jest grupa Advanced Persistent Threat (APT) śledzona pod pseudonimem BlackTech. Specjalizują się w szpiegostwie, a ich najnowszy implant nosi nazwę Flagpro.

Flagpro Malware jest dostarczane ofiarom za pośrednictwem wiadomości phishingowych, które wydają się być dostosowane do każdej ofiary. Przestępcy udają, że wysyłają wiadomości od zaufanych partnerów, zwiększając w ten sposób szanse, że ofiary wejdą w interakcję z wiadomością. Fałszywy e-mail zawiera archiwum chronione hasłem, które ma zawierać ważne treści. Jednak ofiary, które go otworzą, zobaczą dokument XLSM, który dostarcza flagpro Malware poprzez sprytne użycie skryptów makr.

Jeśli makro zostanie wykonane pomyślnie, ładunek Flagpro Malware zostanie upuszczony do katalogu startowego systemu Windows, dzięki czemu zyskuje na trwałości. Zagrożenie łączy się następnie ze zdalnym serwerem za pośrednictwem protokołu HTTP i wysyła podstawowe informacje o komputerze ofiary. Przestępcy mogą następnie wykorzystać Flagpro Malware do zdalnego wykonywania poleceń lub dostarczania dodatkowych ładunków.

Pierwsze warianty Flagpro Malware pochodzą z czerwca 2020 r. i wydaje się, że od tego czasu przestępcy opublikowali kilka aktualizacji. Jeden z najnowszych wariantów jest w stanie automatycznie zamykać okna dialogowe Windows, które mogą wywołać aktywność implantu i ujawnić swoją obecność. Podobno jest w stanie wykryć określone nazwy dialogów w Japonii, Tajwanie, Chinach i języku angielskim – prawdopodobnie oznacza to, że Flagpro Malware ma zamiar zaatakować również inne kraje. Najlepszym sposobem ochrony sieci i systemów przed atakami BlackTech jest inwestowanie w ulepszone środki bezpieczeństwa, a także upewnienie się, że wszyscy pracownicy znają podstawowe mechanizmy rozprzestrzeniania się szkodliwego oprogramowania, z których korzystają cyberprzestępcy. Poprzednia rodzina implantów BlackTech to złośliwe oprogramowanie Gh0stTimes .