Группа BlackTech кибершпионажа APT (повышенная постоянная угроза) была замечена нацеленной на японские компании с использованием нового вредоносного ПО, которое исследователи называют «Flagpro».
Злоумышленник использует Flagpro на начальном этапе атаки для сетевой разведки, для оценки среды цели, а также для загрузки вредоносного ПО второго этапа и его выполнения.
Взлом корпоративных сетей
Цепочка заражения начинается с фишингового электронного письма, созданного для целевой организации, выдавая себя за сообщение от надежного партнера.В письме есть защищенное паролем вложение ZIP или RAR, содержащее файл Microsoft Excel (.XLSM) с вредоносным макросом. При запуске этого кода в каталоге запуска создается исполняемый файл Flagpro.
При первом запуске Flagpro подключается к серверу C2 через HTTP и отправляет данные идентификатора системы, полученные путем выполнения жестко запрограммированных команд ОС.
В ответ C2 может отправить обратно дополнительные команды или полезную нагрузку второго уровня, которую может выполнить Flagpro.
Пример отправленной команды
Источник: NTT Security
Связь между ними кодируется с помощью Base64, а также существует настраиваемая временная задержка между подключениями, чтобы избежать создания шаблона идентифицируемых операций.
Связь между Flagpro и C2
Источник: NTT Security
Согласно отчету NTT Security, Flagpro использовался против японских фирм более года, по крайней мере, с октября 2020 года. Самый последний образец, который исследователи смогли получить, датируется июлем 2021 года.
Целевые объекты принадлежат к различным секторам, включая оборонные технологии, средства массовой информации и коммуникации.
Flagpro v2.0
В какой-то момент своего анализа исследователи NTT заметили новую версию Flagpro, которая может автоматически закрывать диалоги, относящиеся к установлению внешних соединений, которые могут раскрыть его присутствие для жертвы.«В реализации Flagpro v1.0, если отображается диалоговое окно с названием« Windows セ キ ュ リ テ ィ », когда Flagpro обращается к внешнему сайту, Flagpro автоматически нажимает кнопку ОК, чтобы закрыть диалоговое окно», - поясняет отчет NTT Security .
«Эта обработка также работает, когда диалог написан на китайском или английском языках. Это указывает на то, что цели находятся в Японии, Тайване и англоязычных странах ».
Вставленный код, служащий обфускацией в Flagpro v2.0
Источник: NTT Security
Вероятно, китайский актер
BlackTech APT - это менее известный субъект, которого исследователи TrendMicro впервые заметили летом 2017 года и который связан с Китаем.Его типичные цели находятся на Тайване, хотя время от времени он атаковал компании в Японии и Гонконге с целью кражи технологий.
В феврале 2021 года отчет Unit 42 связал BlackTech с WaterBear ; еще одна группа кибершпионажа, которую, как считается, поддерживает правительство Китая.
Как APT, BlackTech обладает знаниями и умением настраивать свои инструменты для новых отчетов, подобных этому, поэтому Flagpro, вероятно, теперь будет модифицирован для более скрытого развертывания.
Как заключает отчет NTT: «Недавно они (BlackTech) начали использовать другое новое вредоносное ПО, называемое« SelfMake Loader »и« Spider RAT ». Это означает, что они активно разрабатывают новые вредоносные программы ».
Защитникам необходимо принять во внимание новые индикаторы компрометации, связанные с новым вредоносным ПО, и следовать всем передовым методам обеспечения безопасности, чтобы обеспечить надежную защиту от сложных угроз, таких как BlackTech.
Перевод Google
Bleeping Computer
Последнее редактирование модератором:
