El grupo de ciberespionaje APT (Advanced Persistent Threat) Blackwell ha estado apuntando a las empresas japonesas con un nuevo tipo de malware que los investigadores denominan “Flag pro”. Malware de segundo nivel y ejecútelo.
Rompiendo redes corporativas
La cadena de infección comienza con un correo electrónico de phishing que se desarrolló para la organización objetivo y pretende ser un mensaje de un socio de confianza.
El correo electrónico contiene un archivo adjunto ZIP o RAR protegido con contraseña con un archivo de Microsoft Excel [.XLSM] vinculado a una macro maliciosa. La ejecución de este código crea un archivo ejecutable en el directorio de inicio de Flag pro.
Cuando se ejecuta por primera vez, Flagpro se conecta al servidor C2 a través de HTTP y envía los detalles de identificación del sistema obtenidos mediante la ejecución de comandos del sistema operativo codificados.
En respuesta, el C2 puede enviar comandos adicionales o una carga útil de segundo nivel que Flag pro puede ejecutar.
Un ejemplo de comando enviado Fuente: NTT Security
La comunicación entre los dos está codificada en base64 y también hay un retardo configurable entre las conexiones para evitar la creación de un modelo operativo identificable.
Comunicación entre Flagpro y el C2 Fuente: NTT Security
Flagpro se ha utilizado contra empresas japonesas durante más de un año, a más tardar desde octubre de 2020, según un informe de NTT Security.
Las muestras más recientes que los investigadores pudieron obtener son de julio de 2021. Las empresas objetivo pertenecen a una variedad de industrias, incluida la tecnología de defensa, medios y comunicaciones.
Flagpro v2.0
En algún momento de su análisis, los investigadores de NTT notaron una nueva versión de Flag pro que puede cerrar automáticamente los cuadros de diálogo relevantes para hacer conexiones externas que podrían revelar su presencia a la víctima.
“En la implementación de Flag pro v1.0, si aparece un cuadro de diálogo titulado ‘Windows セ キ ュ リ テ ィ’ cuando Flagpro accede a un sitio externo, Flagpro automáticamente hará clic en el botón Aceptar para cerrar el cuadro de diálogo”, explica el informe de seguridad de NTT . “Este manejo también funciona si el diálogo está escrito en chino o en inglés indica que los destinos están en Japón, Taiwán y países de habla inglesa.
Código insertado que sirve como ofuscación en Flagpro v2.0 Fuente: NTT Security
Blackwell APT es un jugador menos conocido descubierto por investigadores de Trendier en el verano de 2017 y se ha asociado con China. Sus objetivos típicos están en Taiwán, aunque ocasionalmente se ha dirigido a empresas en Japón y Hong Kong para robar tecnología.
En febrero de 2021, un informe de la Unidad 42 vinculó a Blackwell con Waterbear Flag pro, otro grupo de ciberespionaje que se cree que tiene el respaldo del gobierno chino como Apt, Black tech, Knowledge and Refinement para adaptar sus herramientas a nuevos informes como este, Flag. pro es probable que se modifique para un uso más sigiloso.
Como concluye el informe de NTT, “Recientemente ellos (Blackwell) comenzaron a usar otro nuevo malware llamado Selfsame Loader y Spider RAT. “Eso significa que están desarrollando activamente nuevo malware. Los defensores deben conocer los nuevos indicadores de exposición a nuevo malware y seguir todas las mejores prácticas de seguridad para mantener una sólida defensa contra amenazas sofisticadas como Blackwell.
Fuente: Computadora que suena