在日本公司网络上发现的 Flagpro 恶意软件
在 2021 年的最后几天,安全研究人员发现了一个新的恶意软件家族,该家族被用于攻击日本公司。这些攻击的罪魁祸首是在别名 BlackTech下跟踪的高级持续威胁 (APT) 组。他们专门从事间谍活动,他们最新的植入物名为 Flagpro。
Flagpro 恶意软件通过网络钓鱼电子邮件发送给受害者,这些电子邮件似乎是为每个受害者定制的。犯罪分子假装从可信赖的合作伙伴处发送消息,因此提高了受害者最终与消息交互的机会。伪造的电子邮件包含一个受密码保护的档案,它应该包含重要内容。但是,打开它的受害者会看到一个 XLSM 文档,该文档通过巧妙地使用宏脚本来传播 Flagpro 恶意软件。
如果宏成功执行,Flagpro 恶意软件负载将被丢弃在 Windows 的启动目录中,从而获得持久性。然后威胁通过 HTTP 协议连接到远程服务器,并发送有关受害者机器的一些基本信息。然后,犯罪分子可以使用 Flagpro 恶意软件远程执行命令,或提供额外的有效载荷。
Flagpro 恶意软件的第一个变体可以追溯到 2020 年 6 月,从那时起,犯罪分子似乎已经发布了几次更新。最新的变体之一能够自动关闭植入物活动可能产生的 Windows 对话框并显示其存在。据称,它能够检测出日本、台湾、中文和英文的特定对话名称——这很可能意味着Flagpro恶意软件也即将攻击其他国家。保护网络和系统免受 BlackTech 攻击的最佳方法是投资加强安全措施,并确保所有员工都熟悉网络犯罪分子使用的主要恶意软件传播机制。以前的 BlackTech 植入系列是Gh0stTimes 恶意软件。