Le cyberespionnage chinois lié à APT diffuse le logiciel malveillant Flagpro

  • Français


  • Des experts en sécurité ont découvert une nouvelle campagne de malware de BlackTeck, un groupe chinois de cyberespionnage APT. Selon un rapport de NTT Security, le groupe a ciblé des entreprises basées au Japon via une nouvelle variante de malware baptisée Flagpro.

    « Nous avons observé à plusieurs reprises des cas d’attaques utilisant Flagpro contre plusieurs entreprises (Défense, Médias, Communications). En octobre 2020, un échantillon lié à Flagpro a été soumis à un service en ligne. Par conséquent, Flagpro a peut-être déjà été utilisé pour attaquer des cas à ce stade », indique le rapport.

    Flagpro Malware Attack Chain

    Les chercheurs ont déclaré que les attaquants ont utilisé le malware Flagpro au stade initial de l’infection pour compromettre le réseau ciblé, télécharger un malware de deuxième étape, puis l’exécuter. L’infection Flagpro commence par un e-mail de harponnage avec un fichier archivé protégé par mot de passe joint (ZIP ou RAR).

    Lire aussi : Des chercheurs découvrent une nouvelle campagne de logiciels malveillants diffusant une charge utile « Blister »

    Le fichier archivé comprend un fichier au format .xlsm (macro Excel) contenant une macro malveillante. Une fois que l’utilisateur a activé la macro, le malware télécharge et crée automatiquement un fichier EXE (contenant Flagpro) dans le répertoire de démarrage. Une fois installé, le malware Flagpro communique avec le serveur C&C exploité par un pirate et exécute les commandes reçues.

    Les principales activités de Flagpro comprennent :

    • Télécharger et exécuter un outil
    • Exécuter les commandes du système d’exploitation et envoyer les résultats
    • Collecter et envoyer des informations d’authentification Windows

    Indicateurs de compromis (IoC)

    • 54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b
    • e197c583f57e6c560b576278233e3ab050e38aa9424a5d95b172de66f9cfe970
    • 655ca39beb2413803af099879401e6d634942a169d2f57eb30f96154a78b2ad5
    • 840ce62f92fc519cd1a33b62f4b9f92a962b7fb28c12d2f607dec0b520e6a4b2
    • ba27ae12e6f3c2c87fd2478072dfa2747d368a507c69cd90b653c9e707254a1d
    • 77680fb906476f0d84e15d5032f09108fdef8933bcad0b941c9f375fedd0b2c9
    • e81255ff6e0ed937603748c1442ce9d6588decf6922537037cf3f1a7369a8876
    • 45[.]76.184.227
    • 45[.]32.23.140
    • 139[.]162.87.180
    • 107[.]191.61.40
    • 172[.]104.109.217
    • précaire[.]com
    • centosupdates[.]com

    « Nous avons observé des cas d’attaque utilisant Flagpro contre le Japon depuis octobre 2020. Les techniques d’attaque n’ont pas beaucoup changé, mais BlackTech utilise davantage de techniques d’évasion. Par exemple, ils ajustent les fichiers leurres et les noms de fichiers à leur cible et vérifient soigneusement l’environnement de la cible. Récemment, ils ont commencé à utiliser d’autres nouveaux logiciels malveillants appelés SelfMake Loader et Spider RAT. Cela signifie qu’ils développent activement de nouveaux logiciels malveillants. Par conséquent, vous devez faire attention aux attaques de BlackTech », ajoute le rapport.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *