Várias empresas japonesas foram detectadas usando o malware Flagpro e, para tirar vantagem disso, o grupo APT de espionagem cibernética da BlackTech tem como alvo essas empresas para executar comandos do sistema operacional, explorando o malware Flagpro.
Os analistas de segurança cibernética da NTTSecurity reivindicado que, no primeiro estágio, os atores da ameaça avaliem os seguintes aspectos, explorando o malware para fins de vigilância:-
- Avalie o ambiente do alvo.
- Baixe malware de segundo estágio.
- Então, finalmente, execute-o.
Análise de ignição Flagpro
Embora se falarmos sobre a análise de ignição do Flagpro, deixe-me simplificar para explicar passo a passo: –
- Flagpro começa com um e-mail de spearphishing.
- Em seguida, ele é acomodado à sua organização-alvo.
- Para enganar seu alvo, os agentes da ameaça disfarçam o malware como um e-mail enviado pelo parceiro de negócios do alvo para fins de comunicação.
- Isso implica que, antes de lançar qualquer ataque, o invasor coloque suas raízes mais profundamente na rede do alvo.
- Um arquivo arquivado protegido por senha (ZIP ou RAR) foi anexado ao e-mail que contém uma macro maliciosa (usada como conta-gotas).
- Na mensagem, eles também fornecem a senha.
- Em seguida, o conteúdo do arquivo xlsm foi manipulado para o destino.
- Nesta fase, no diretório de inicialização, a macro maliciosa monta um arquivo EXE (Flagpro) e nomeia o arquivo “dwm.exe”.
- Agora, durante a próxima inicialização, o dwm.exe será executado e então estabelecerá comunicação com um servidor C&C.
- Em seguida, o malware Flagpro baixa um malware de segundo estágio após receber um comando do servidor C&C via HTTP e o executa.
Esta é toda a cadeia de ataque através da qual o agente da ameaça explora o malware Flagpro para executar comandos do sistema operacional nos sistemas de rede comprometidos.
Principais Funções Flagpro
Aqui estão as principais funções do malware Flagpro: –
- Baixe e execute uma ferramenta.
- Execute comandos do sistema operacional e envie os resultados.
- Coletar e enviar Windows informações de autenticação.
Alvos
Além disso, a variante atual do Flagpro foi marcada como “Flagpro v2.0”, enquanto a variante antiga era conhecida como “Flagpro v1.0.”
No Flagpro v1.0ele clica automaticamente no botão OK para fechar a caixa de diálogo intitulada “Windows セキュリティ,” e quando o Flagpro acessa um site externo esta caixa de diálogo é exibida.
A linguagem utilizada mostra claramente que seus alvos são principalmente: –
- Japão
- Taiwan
- Países de língua inglesa
Mas, no caso do Flagpro v2.0ele verifica apenas dois elementos antes de clicar no botão OK, “nome de usuário e senha”, estejam eles preenchidos ou não em uma caixa de diálogo como um recurso adicional.
Além disso, os analistas de segurança cibernética da NTTSecurity especularam que o grupo BlackTech APT está associado à China, mas, ainda assim, ainda não está confirmado, uma vez que este grupo APT é um grupo menos conhecido e foi detectado pela primeira vez em 2017 por investigadores da TrendMicro.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.