Кибергруппировка BlackTech была замечена в атаке на японские компании с использованием нового вредоносного ПО, которое исследователи назвали «Flagpro».

Злоумышленники используют Flagpro на начальном этапе атаки для сетевой разведки, чтобы оценить среду цели, а также загрузить вредоносное ПО развернуть его. Цепочка заражения начинается с фишингового электронного письма от, якобы, партнёра организации.

В письме содержится защищенное паролем вложение ZIP или RAR, содержащее файл Microsoft Excel (.XLSM) с вредоносным макросом. При запуске этого кода в каталоге запуска создается файл Flagpro.

При первом запуске Flagpro подключается к серверу через HTTP и отправляет сведения об идентификаторе системы, полученные в результате выполнения запрограммированных команд ОС.

В ответ сервер может отправить обратно дополнительные команды или новую загрузку, которую может выполнить Flagpro.

Источник: secure news