在日本公司網絡上發現的 Flagpro 惡意軟件

在 2021 年的最後幾天，安全研究人員發現了一個新的惡意軟件家族，該家族被用於攻擊日本公司。這些攻擊的罪魁禍首是在別名 BlackTech下跟踪的高級持續威脅 (APT) 組。他們專門從事間諜活動，他們最新的植入物名為 Flagpro。

Flagpro 惡意軟件通過網絡釣魚電子郵件發送給受害者，這些電子郵件似乎是為每個受害者定制的。犯罪分子假裝從可信賴的合作夥伴處發送消息，因此提高了受害者最終與消息交互的機會。偽造的電子郵件包含一個受密碼保護的檔案，它應該包含重要內容。但是，打開它的受害者會看到一個 XLSM 文檔，該文檔通過巧妙地使用宏腳本來傳播 Flagpro 惡意軟件。

如果宏成功執行，Flagpro 惡意軟件負載將被丟棄在 Windows 的啟動目錄中，從而獲得持久性。然後威脅通過 HTTP 協議連接到遠程服務器，並發送有關受害者機器的一些基本信息。然後，犯罪分子可以使用 Flagpro 惡意軟件遠程執行命令，或提供額外的有效載荷。

Flagpro 惡意軟件的第一個變體可以追溯到 2020 年 6 月，從那時起，犯罪分子似乎已經發布了幾次更新。最新的變體之一能夠自動關閉植入物活動可能產生的 Windows 對話框並顯示其存在。據稱，它能夠檢測出日本、台灣、中文和英文的特定對話名稱——這很可能意味著Flagpro惡意軟件也即將攻擊其他國家。保護網絡和系統免受 BlackTech 攻擊的最佳方法是投資加強安全措施，並確保所有員工都熟悉網絡犯罪分子使用的主要惡意軟件傳播機制。以前的 BlackTech 植入系列是Gh0stTimes 惡意軟件。