在日本公司網絡上發現的 Flagpro 惡意軟件
在 2021 年的最後幾天,安全研究人員發現了一個新的惡意軟件家族,該家族被用於攻擊日本公司。這些攻擊的罪魁禍首是在別名 BlackTech下跟踪的高級持續威脅 (APT) 組。他們專門從事間諜活動,他們最新的植入物名為 Flagpro。
Flagpro 惡意軟件通過網絡釣魚電子郵件發送給受害者,這些電子郵件似乎是為每個受害者定制的。犯罪分子假裝從可信賴的合作夥伴處發送消息,因此提高了受害者最終與消息交互的機會。偽造的電子郵件包含一個受密碼保護的檔案,它應該包含重要內容。但是,打開它的受害者會看到一個 XLSM 文檔,該文檔通過巧妙地使用宏腳本來傳播 Flagpro 惡意軟件。
如果宏成功執行,Flagpro 惡意軟件負載將被丟棄在 Windows 的啟動目錄中,從而獲得持久性。然後威脅通過 HTTP 協議連接到遠程服務器,並發送有關受害者機器的一些基本信息。然後,犯罪分子可以使用 Flagpro 惡意軟件遠程執行命令,或提供額外的有效載荷。
Flagpro 惡意軟件的第一個變體可以追溯到 2020 年 6 月,從那時起,犯罪分子似乎已經發布了幾次更新。最新的變體之一能夠自動關閉植入物活動可能產生的 Windows 對話框並顯示其存在。據稱,它能夠檢測出日本、台灣、中文和英文的特定對話名稱——這很可能意味著Flagpro惡意軟件也即將攻擊其他國家。保護網絡和系統免受 BlackTech 攻擊的最佳方法是投資加強安全措施,並確保所有員工都熟悉網絡犯罪分子使用的主要惡意軟件傳播機制。以前的 BlackTech 植入系列是Gh0stTimes 惡意軟件。