Des pirates chinois ciblent des entreprises japonaises avec un nouveau malware Flagpro

Des chercheurs en sécurité ont détecté des entreprises japonaises ciblées par le groupe de cyber-espionnage APT (menace avancée persistante) de BlackTech. À cette fin, les pirates ont utilisé le nouveau logiciel malveillant appelé « Flagpro ».

Flagpro est principalement utilisé par les cybercriminels pour inspecter dans un premier temps un réseau cible, pour juger de son environnement, et pour télécharger des logiciels malveillants primaires (deuxième étape) et lui faire exécuter ses activités malveillantes.

Violer les réseaux d’entreprise

Pour contaminer l’organisation cible, les acteurs malveillants s’appuient sur des e-mails de phishing déguisés en lettre d’un partenaire de confiance. Les e-mails trompeurs sont accompagnés d’un fichier ZIP ou RAR protégé par mot de passe. Cette pièce jointe contient un fichier Microsoft Excel (.XLSM) qui comprend une macro malveillante qui, une fois exécutée, entraîne la génération d’un exécutable dans le répertoire de démarrage. De cette façon, le Flagpro fait son chemin dans le réseau.

À l’entrée, Flagpro est initialement connecté au serveur C2 via HTTP, puis il exécute des commandes de système d’exploitation codées en dur pour acquérir les informations d’identification du système, puis les envoie. En réponse, les commandes supplémentaires pourraient être renvoyées par C2 ou il peut également envoyer une charge utile de deuxième étape qui peut être exécutée par le Flagpro.

La communication est cryptée en Base64. De plus, pour empêcher la création d’un modèle d’opérations identifiables, entre les connexions, il existe également un délai configurable.

Un rapport de NTT Security indique que les cyber-escrocs ont en général utilisé Flagpro contre des entreprises japonaises pendant plus d’un an, depuis au moins octobre 2020. Le dernier échantillon que les chercheurs pourraient récupérer date de juillet 2021.

De nombreux secteurs ont été ciblés, notamment les médias, les technologies de la défense et les communications.

Flagpro v2.0

Une nouvelle version de Flagpro a été remarquée par les chercheurs de NTT lors de leur analyse, qui peut fermer automatiquement les boîtes de dialogue liées à la configuration de connexions externes qui pourraient rendre les victimes inconnues de son existence.

« Dans la mise en œuvre de Flagpro v1.0, si une boîte de dialogue intitulée « Windows セキュリティ » s’affiche lorsque Flagpro accède à un site externe, Flagpro clique automatiquement sur le bouton OK pour fermer la boîte de dialogue », explique le rapport NTT Security.

Le hacker est probablement chinois

Un BlackTech APT basé en Chine est un pirate informatique moins connu qui a été repéré pour la première fois par des chercheurs de TrendMicro à l’été 2017.

Il cible principalement Taïwan, même s’il a parfois même agressé le Japon et des entreprises originaires de Hong Kong pour voler la technologie.

À la fin du rapport NTT : « Récemment, ils (BlackTech) ont commencé à utiliser d’autres nouveaux logiciels malveillants appelés « SelfMake Loader » et « Spider RAT ». Cela signifie qu’ils développent activement de nouveaux logiciels malveillants.