Un nouveau malware Flagpro lié à des pirates informatiques soutenus par l’État chinois


Pirate


Le groupe de cyberespionnage APT (Advanced Persistent Threat) Blackwell cible les entreprises japonaises avec un nouveau type de malware que les chercheurs appellent « Flag pro ». Malware de deuxième niveau et exécutez-le.

Briser les réseaux d’entreprise

La chaîne d’infection commence par un e-mail d’hameçonnage qui a été développé pour l’organisation cible et prétend être un message d’un partenaire de confiance.

L’e-mail contient une pièce jointe ZIP ou RAR protégée par mot de passe avec un fichier Microsoft Excel [.XLSM] lié à une macro malveillante. L’exécution de ce code crée un fichier exécutable dans le répertoire personnel de Flag pro.

Lors de sa première exécution, Flagpro se connecte au serveur C2 via HTTP et envoie les détails d’identification du système obtenus en exécutant des commandes du système d’exploitation codées en dur.

En réponse, le C2 peut envoyer des commandes supplémentaires ou une charge utile de deuxième niveau que Flag pro peut exécuter.

Un exemple de commande envoyée Source : Sécurité NTT

La communication entre les deux est codée en base64, et il existe également un délai configurable entre les connexions pour éviter de créer un modèle de fonctionnement identifiable.

Flagpro

Communication entre Flagpro et le C2 Source : Sécurité NTT

Flagpro est utilisé contre des entreprises japonaises depuis plus d’un an, au plus tard depuis octobre 2020, selon un rapport de NTT Security.

Les échantillons les plus récents que les chercheurs ont pu obtenir datent de juillet 2021. Les entreprises cibles proviennent de divers secteurs, notamment la défense, les médias et les technologies des communications.

Flagpro v2.0

À un moment donné de leur analyse, les chercheurs de NTT ont remarqué une nouvelle version de Flag pro qui peut fermer automatiquement les boîtes de dialogue pertinentes pour établir des connexions externes qui pourraient révéler leur présence à la victime.

“Dans l’implémentation de Flag pro v1.0, si une boîte de dialogue intitulée ‘Windows セ キ ュ リ テ ィ’ apparaît lorsque Flagpro accède à un site externe, Flagpro cliquera automatiquement sur le bouton OK pour fermer la boîte de dialogue” explique le rapport de sécurité de NTT . « Cette gestion fonctionne également si la boîte de dialogue est écrite en chinois ou en anglais et indique que les destinations se trouvent au Japon, à Taïwan et dans des pays anglophones.

Flagpro

Code inséré servant d’obscurcissement dans Flagpro v2.0 Source : Sécurité NTT

Blackwell APT est un acteur moins connu découvert par des chercheurs Trendier à l’été 2017 et s’est associé à la Chine. Ses cibles typiques se trouvent à Taïwan, bien qu’il ait parfois ciblé des entreprises au Japon et à Hong Kong pour voler de la technologie.

En février 2021, un rapport de l’unité 42 reliait Blackwell à Waterbear Flag pro, un autre groupe de cyberespionnage qui aurait le soutien du gouvernement chinois comme Apt, Black tech, Knowledge and Refinement pour adapter leurs outils à de nouveaux rapports comme celui-ci, Flag pro est susceptible d’être modifié pour une utilisation plus furtive.

Comme le conclut le rapport de NTT, « Récemment, ils (Blackwell) ont commencé à utiliser un autre nouveau logiciel malveillant appelé Selfsame Loader et Spider RAT. « Cela signifie qu’ils développent activement de nouveaux logiciels malveillants. Les défenseurs doivent être conscients des nouveaux indicateurs d’exposition aux nouveaux logiciels malveillants et suivre toutes les meilleures pratiques de sécurité pour maintenir une défense solide contre les menaces sophistiquées comme Blackwell.

La source: Ordinateur qui bipe





Source link