Un nouveau malware Flagpro lié à des pirates informatiques soutenus par l’État chinois

hacker

Le groupe de cyberespionnage APT (menace avancée persistante) de BlackTech a été repéré ciblant des entreprises japonaises à l’aide de nouveaux logiciels malveillants que les chercheurs appellent « Flagpro ».wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

L’acteur de la menace utilise Flagpro dans la phase initiale d’une attaque pour la reconnaissance du réseau, pour évaluer l’environnement de la cible, et pour télécharger des logiciels malveillants de deuxième étape et les exécuter.

Briser les réseaux d’entreprise

La chaîne d’infection commence par un e-mail de phishing conçu pour l’organisation cible, prétendant être un message d’un partenaire de confiance.

L’e-mail contient une pièce jointe ZIP ou RAR protégée par mot de passe qui contient un fichier Microsoft Excel (.XLSM) associé à une macro malveillante. L’exécution de ce code crée un exécutable dans le répertoire de démarrage, le Flagpro.

Lors de sa première exécution, Flagpro se connecte au serveur C2 via HTTP et envoie les détails de l’ID système obtenus en exécutant des commandes OS codées en dur.

En réponse, le C2 peut renvoyer des commandes supplémentaires ou une charge utile de deuxième étape que Flagpro peut exécuter.

Un exemple de commande envoyée
Un exemple de commande envoyée
Source : Sécurité NTT

La communication entre les deux est codée en Base64, et il existe également un délai configurable entre les connexions pour éviter de créer un modèle d’opérations identifiables.

Communication entre Flagpro et le C2
Communication entre Flagpro et le C2
Source : Sécurité NTT

Selon un rapport de NTT Security, Flagpro est déployé contre des entreprises japonaises depuis plus d’un an, depuis au moins octobre 2020. L’échantillon le plus récent que les chercheurs ont pu récupérer date de juillet 2021.

Les entités ciblées sont issues de divers secteurs, dont les technologies de la défense, les médias et les communications.

Flagpro v2.0

À un moment donné de leur analyse, les chercheurs de NTT ont remarqué une nouvelle version de Flagpro, qui peut automatiquement fermer les boîtes de dialogue relatives à l’établissement de connexions externes susceptibles de révéler sa présence à la victime.

« Dans la mise en œuvre de Flagpro v1.0, si une boîte de dialogue intitulée « Windows セキュリティ » s’affiche lorsque Flagpro accède à un site externe, Flagpro clique automatiquement sur le bouton OK pour fermer la boîte de dialogue », explique le Rapport de sécurité NTT.

« Cette gestion fonctionne également lorsque le dialogue est écrit en chinois ou en anglais. Cela indique que les cibles se trouvent au Japon, à Taïwan et dans les pays anglophones. »

Code inséré servant d'obscurcissement dans Flagpro v2.0
Code inséré servant d’obscurcissement dans Flagpro v2.0
Source : Sécurité NTT

Probablement un acteur chinois

BlackTech APT est un acteur moins connu qui TrendMicro chercheurs repérés pour la première fois à l’été 2017 et est associé à la Chine.

Ses cibles typiques se trouvent à Taïwan, bien qu’il ait parfois attaqué des entreprises au Japon et à Hong Kong pour voler de la technologie.

En février 2021, un rapport de l’Unité 42 a relié BlackTech à WaterBear ; un autre groupe de cyberespionnage qui serait soutenu par le gouvernement chinois.

En tant qu’APT, BlackTech possède les connaissances et la sophistication pour ajuster ses outils à de nouveaux rapports comme celui-ci, donc Flagpro sera probablement maintenant modifié pour un déploiement plus furtif.

Comme le conclut le rapport de NTT : « Récemment, ils (BlackTech) ont commencé à utiliser d’autres nouveaux logiciels malveillants appelés « SelfMake Loader » et « Spider RAT ». Cela signifie qu’ils développent activement de nouveaux logiciels malveillants.

Les défenseurs doivent prendre note des nouveaux indicateurs de compromission liés au nouveau malware et suivre toutes les meilleures pratiques de sécurité pour maintenir des défenses solides contre les menaces sophistiquées comme BlackTech.