Tuesday, March 21, 2023
Latest:

Malware Removed

Holen Sie sich die neuesten Updates für PC-Bedrohungen

News 

Chinesische Hacker greifen japanische Unternehmen mit neuer Flagpro-Malware an

William Stuart

Sicherheitsforscher haben festgestellt, dass japanische Unternehmen von der BlackTech-Cyberspionagegruppe APT (Advanced Persistent Threat) ins Visier genommen werden. Hacker machten sich dafür die neuartige Malware namens “Flagpro“ zunutze.

Flagpro wird hauptsächlich von Cyberkriminellen verwendet, um ein Zielnetzwerk zunächst zu inspizieren, seine Umgebung zu beurteilen und um primäre (zweite Stufe) Malware herunterzuladen und ihre bösartigen Aktivitäten ausführen zu lassen.

Verletzung von Unternehmensnetzwerken

Um die Zielorganisation zu verseuchen, verlassen sich Bedrohungsakteure auf Phishing-E-Mails, die als Brief eines vertrauenswürdigen Partners getarnt sind. Den betrügerischen Mails ist eine passwortgeschützte ZIP- oder RAR-Datei beigefügt. Dieser Anhang enthält eine Microsoft Excel-Datei (.XLSM), die ein boshaftes Makro enthält, das nach seiner Ausführung zur Generierung einer ausführbaren Datei im Startverzeichnis führt. Auf diese Weise findet der Flagpro seinen Weg in das Netzwerk.

Bei der Eingabe wird Flagpro zunächst über HTTP mit dem C2-Server verbunden und führt dann hartcodierte Betriebssystembefehle aus, um System-ID-Informationen zu erhalten, und sendet sie dann. Als Antwort könnten die zusätzlichen Befehle von C2 zurückgesendet werden oder es kann auch eine Nutzlast der zweiten Stufe senden, die von Flagpro ausgeführt werden kann.

Die Kommunikation ist mit Base64 verschlüsselt. Um zu verhindern, dass ein Muster von identifizierbaren Vorgängen erstellt wird, gibt es zwischen Verbindungen außerdem einen konfigurierbaren Zeitüberhang.

Einem Bericht von NTT Security zufolge haben Cyber-Gauner im Allgemeinen seit mehr als einem Jahr, seit mindestens Oktober 2020, Flagpro gegen japanische Firmen eingesetzt. Die neueste Stichprobe, die die Forscher zurückbekommen konnten, stammt aus dem Juli 2021.

Es gibt mehrere Sektoren, die ins Visier genommen wurden, darunter Medien, Verteidigungstechnologien und Kommunikation.

Flagpro v2.0

NTT-Forschern ist bei ihrer Analyse eine neue Version von Flagpro aufgefallen, die automatisch Dialoge schließen kann, die mit dem Einrichten externer Verbindungen verbunden sind und die Opfer über ihre Existenz informieren könnten.

“Wenn in der Implementierung von Flagpro v1.0 ein Dialogfeld mit dem Titel “Windows セキュリティ“ angezeigt wird, wenn Flagpro auf eine externe Site zugreift, klickt Flagpro automatisch auf die Schaltfläche OK, um das Dialogfeld zu schließen“, erklärt der NTT-Sicherheitsbericht.

Hacker ist wahrscheinlich Chinese

Ein in China ansässiger BlackTech APT ist ein weniger bekannter Hacker, der erstmals im Sommer 2017 von TrendMicro-Forschern entdeckt wurde.

Es zielt hauptsächlich auf Taiwan ab, obwohl es manchmal sogar Unternehmen mit Ursprung in Japan und Hongkong angegriffen hat, um Technologie zu stehlen.

Am Ende des NTT-Berichts heißt es: “Kürzlich haben sie (BlackTech) damit begonnen, andere neue Malware namens “SelfMake Loader“ und “Spider RAT“ zu verwenden. Das bedeutet, dass sie aktiv neue Malware entwickeln.“