Η ομάδα κυβερνοκατασκοπείας BlackTech εντοπίστηκε να στοχεύει ιαπωνικές εταιρείες χρησιμοποιώντας ένα νέο κακόβουλο λογισμικό που οι ερευνητές αποκαλούν «Flagpro».
Δείτε επίσης: Spider-Man: No Way Home torrents μπορούν να σας μολύνουν με crypto malware
Οι κακόβουλοι παράγοντες χρησιμοποιούν το Flagpro στο αρχικό στάδιο μιας επίθεσης για αναγνώριση δικτύου, για να αξιολογήσει το περιβάλλον του στόχου και να κατεβάσει το κακόβουλο λογισμικό δεύτερου σταδίου και να το εκτελέσει.
Η αλυσίδα μόλυνσης ξεκινά με ένα phishing email που δημιουργείται για τον εκάστοτε οργανισμό-στόχο, που προσποιείται ότι προέρχεται από έναν αξιόπιστο συνεργάτη.
Το email φέρει ένα συνημμένο ZIP ή RAR που προστατεύεται με κωδικό πρόσβασης, το οποίο περιέχει ένα αρχείο Microsoft Excel (.XLSM) με μια κακόβουλη μακροεντολή. Εκτελώντας αυτόν τον κώδικα δημιουργείται ένα εκτελέσιμο αρχείο στον κατάλογο εκκίνησης, το Flagpro.
Κατά την πρώτη εκτέλεσή του, το Flagpro συνδέεται με τον διακομιστή C2 μέσω HTTP και αποστέλλει στοιχεία αναγνωριστικού συστήματος που λαμβάνονται με την εκτέλεση hardcoded εντολών του λειτουργικού συστήματος.
Ως απόκριση, το C2 μπορεί να στείλει πίσω πρόσθετες εντολές ή ένα ωφέλιμο φορτίο δεύτερου σταδίου που μπορεί να εκτελέσει το Flagpro.
Δείτε ακόμα: Το malware BLISTER περνάει απαρατήρητο στα συστήματα Windows
Η επικοινωνία μεταξύ των δύο κωδικοποιείται με το Base64 και υπάρχει επίσης μια ρυθμιζόμενη χρονική καθυστέρηση μεταξύ των συνδέσεων για να αποφευχθεί η δημιουργία ενός μοτίβου αναγνωρίσιμων λειτουργιών.
Σύμφωνα με έκθεση της NTT Security, το Flagpro έχει αναπτυχθεί για να επιτίθεται σε ιαπωνικές εταιρείες για περισσότερο από ένα χρόνο, τουλάχιστον από τον Οκτώβριο του 2020. Το πιο πρόσφατο δείγμα που μπορούσαν να ανακτήσουν οι ερευνητές είναι από τον Ιούλιο του 2021.
Οι στοχευόμενες οντότητες προέρχονται από διάφορους τομείς, συμπεριλαμβανομένων των αμυντικών τεχνολογιών, των μέσων ενημέρωσης και των επικοινωνιών.
Οι ερευνητές της NTT παρατήρησαν επίσης μια νέα έκδοση του Flagpro, η οποία μπορεί να κλείσει αυτόματα τους διαλόγους που σχετίζονται με τη δημιουργία εξωτερικών συνδέσεων που θα μπορούσαν να αποκαλύψουν την παρουσία του στο θύμα.
Δείτε επίσης: Πείραμα Honeypot: Αποκαλύπτει τι θέλουν οι hacker από τις συσκευές IoT
“Στην υλοποίηση του Flagpro v1.0, εάν εμφανίζεται ένα παράθυρο διαλόγου με τίτλο “Windows セキュリティ” όταν το Flagpro έχει πρόσβαση σε έναν εξωτερικό ιστότοπο, το malware κάνει αυτόματα κλικ στο κουμπί OK για να κλείσει το παράθυρο διαλόγου“, εξηγεί η αναφορά Ασφάλειας της NTT.
«Αυτός ο χειρισμός λειτουργεί όταν ο διάλογος είναι γραμμένος στα κινέζικα ή στα αγγλικά, υποδεικνύοντας ότι οι στόχοι βρίσκονται στην Ιαπωνία, την Ταϊβάν και τις αγγλόφωνες χώρες».
Η BlackTech APT είναι μία όχι και τόσο δημοφιλής ομάδα, που εντοπίστηκε από τους ερευνητές της TrendMicro για πρώτη φορά το καλοκαίρι του 2017 και σχετίζεται με την Κίνα.
