APT-группировка BlackTech атаковала японские компании новым вредоносом Flagpro

APT-группировка BlackTech атаковала японские компании новым вредоносом Flagpro

Хакеры используют Flagpro для сетевой разведки, оценки среды цели, а также загрузки вредоноса следующего этапа.

Киберпреступники из APT-группировки BlackTech атаковали японские компании с помощью нового вредоносного ПО, получившего название Flagpro. Злоумышленники используют Flagpro на начальном этапе атаки для сетевой разведки, оценки среды цели, а также загрузки и выполнения вредоносного ПО второго уровня.

Кибератака начинается с фишингового электронного письма, специально созданного для целевой организации и замаскированного под сообщение от надежного партнера. В письме есть защищенное паролем вложение в формате ZIP или RAR, содержащее файл Microsoft Excel (.XLSM) с вредоносным макросом. При запуске кода в каталоге запуска создается исполняемый файл Flagpro.

При первом запуске Flagpro подключается к серверу командному серверу через HTTP и отправляет данные идентификатора системы, полученные путем выполнения встроенных команд ОС. В ответ командный сервер может отправить обратно дополнительные команды или полезную нагрузку второго уровня, которую может выполнить Flagpro. Связь между ними кодируется с помощью Base64, а также существует настраиваемая временная задержка между подключениями во избежание создания шаблона идентифицируемых операций.

Согласно отчету экспертов из компании NTT Security, Flagpro использовался против японских фирм по крайней мере с октября 2020 года. Последний образец, который исследователи смогли идентифицировать, датируется июлем 2021 года.

Список жертв включает компании из различных секторов, в том числе оборонную промышленность, средства массовой информации и коммуникации.

Исследователи также обнаружили версию Flagpro, способную автоматически закрывать диалоги, относящиеся к установлению внешних соединений, которые могут раскрыть присутствие вредоноса.

«В реализации Flagpro v1.0, если отображается диалоговое окно с названием «Windows セ キ ュ リ テ ィ» при обращении к внешнему сайту, Flagpro автоматически нажимает кнопку ОК и закрывает окно. Функция также работает, когда диалог написан на китайском или английском языках. Это указывает на то, что цели преступников находятся в Японии, Тайване и англоязычных странах», — пояснили специалисты.

По словам экспертов, BlackTech также начала использовать другие вредоносы — SelfMake Loader и Spider RAT. Это означает, что злоумышленники активно разрабатывают новые вредоносные программы.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!