Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

APT-группировка BlackTech атаковала японские компании новым вредоносом Flagpro

30/12/21

hack31-Dec-30-2021-10-43-59-63-AMКиберпреступники из APT-группировки BlackTech атаковали японские компании с помощью нового вредоносного ПО, получившего название Flagpro. Злоумышленники используют Flagpro на начальном этапе атаки для сетевой разведки, оценки среды цели, а также загрузки и выполнения вредоносного ПО второго уровня.

Кибератака начинается с фишингового электронного письма, специально созданного для целевой организации и замаскированного под сообщение от надежного партнера. В письме есть защищенное паролем вложение в формате ZIP или RAR, содержащее файл Microsoft Excel (.XLSM) с вредоносным макросом. При запуске кода в каталоге запуска создается исполняемый файл Flagpro.

При первом запуске Flagpro подключается к серверу командному серверу через HTTP и отправляет данные идентификатора системы, полученные путем выполнения встроенных команд ОС. В ответ командный сервер может отправить обратно дополнительные команды или полезную нагрузку второго уровня, которую может выполнить Flagpro. Связь между ними кодируется с помощью Base64, а также существует настраиваемая временная задержка между подключениями во избежание создания шаблона идентифицируемых операций.

Согласно отчету экспертов из компании NTT Security, Flagpro использовался против японских фирм по крайней мере с октября 2020 года. Последний образец, который исследователи смогли идентифицировать, датируется июлем 2021 года.

Список жертв включает компании из различных секторов, в том числе оборонную промышленность, средства массовой информации и коммуникации.

Исследователи также обнаружили версию Flagpro, способную автоматически закрывать диалоги, относящиеся к установлению внешних соединений, которые могут раскрыть присутствие вредоноса.

«В реализации Flagpro v1.0, если отображается диалоговое окно с названием «Windows セ キ ュ リ テ ィ» при обращении к внешнему сайту, Flagpro автоматически нажимает кнопку ОК и закрывает окно. Функция также работает, когда диалог написан на китайском или английском языках. Это указывает на то, что цели преступников находятся в Японии, Тайване и англоязычных странах», — пояснили специалисты.

По словам экспертов, BlackTech также начала использовать другие вредоносы — SelfMake Loader и Spider RAT. Это означает, что злоумышленники активно разрабатывают новые вредоносные программы.

Темы:ПреступленияAPT-группыэлектронная почта
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...