Gli hacker cinesi prendono di mira le aziende giapponesi con il nuovo malware Flagpro

I ricercatori di sicurezza hanno rilevato che le aziende giapponesi sono state prese di mira dal gruppo di spionaggio informatico BlackTech APT (Advanced Persistent Threat). A tale scopo, gli hacker hanno utilizzato il nuovo malware chiamato “Flagpro”.

Flagpro viene utilizzato principalmente dai criminali informatici per ispezionare inizialmente una rete di destinazione, per giudicare il suo ambiente e per scaricare malware primario (secondo stadio) e fargli svolgere le sue attività dannose.

Violazione delle reti aziendali

Per contaminare l’organizzazione di destinazione, gli attori delle minacce si affidano a e-mail di phishing mascherate da lettera di un partner affidabile. Le e-mail ingannevoli hanno un file ZIP o RAR protetto da password allegato. Questo allegato contiene un file Microsoft Excel (.XLSM) che include una macro dispettosa che, una volta eseguita, genera un eseguibile nella directory di avvio. In questo modo, Flagpro si fa strada nella rete.

All’ingresso, Flagpro inizialmente si connette al server C2 tramite HTTP, quindi esegue comandi del sistema operativo hardcoded per acquisire informazioni sull’ID di sistema e quindi inviarle. In risposta, i comandi aggiuntivi possono essere rinviati da C2 o può anche inviare un payload di secondo stadio che può essere eseguito da Flagpro.

La comunicazione è crittografata con Base64. Inoltre, per evitare che si crei uno schema di operazioni identificabili, tra le connessioni c’è anche un tempo di attesa configurabile.

Un rapporto di NTT Security afferma che i criminali informatici hanno generalmente utilizzato Flagpro contro le aziende giapponesi per più di un anno, almeno dall’ottobre 2020. L’ultimo campione che i ricercatori potrebbero ottenere risale a luglio 2021.

Sono molteplici i settori che sono stati presi di mira, compresi i media, le tecnologie di difesa e le comunicazioni.

Flagpro v2.0

Durante la loro analisi, i ricercatori di NTT hanno notato una nuova versione di Flagpro, che può chiudere automaticamente le finestre di dialogo relative all’impostazione di connessioni esterne che potrebbero rendere le vittime sconosciute della sua esistenza.

“Nell’implementazione di Flagpro v1.0, se viene visualizzata una finestra di dialogo denominata “Windows セキュリティ” quando Flagpro accede a un sito esterno, Flagpro fa automaticamente clic sul pulsante OK per chiudere la finestra di dialogo”, spiega il rapporto NTT Security.

È probabile che l’hacker sia cinese

Un BlackTech APT con sede in Cina è un hacker meno noto che è stato individuato per la prima volta dai ricercatori di TrendMicro nell’estate del 2017.

Prende di mira principalmente Taiwan, anche se a volte ha persino aggredito il Giappone e le società originarie di Hong Kong per rubare tecnologia.

Come termina il rapporto NTT: “Recentemente, (BlackTech) hanno iniziato a utilizzare altri nuovi malware chiamati “SelfMake Loader” e “Spider RAT”. Significa che stanno sviluppando attivamente nuovo malware”.