2SDnjd76ePt
APT-группировка BlackTech атаковала японские компании новым вредоносом Flagpro
Киберпреступники из APT-группировки BlackTech атаковали японские компании с помощью нового вредоносного ПО, получившего название Flagpro. Злоумышленники используют Flagpro на начальном этапе атаки для сетевой разведки, оценки среды цели, а также загрузки и выполнения вредоносного ПО второго уровня, пишет SecurityLab.
Кибератака начинается с фишингового электронного письма, специально созданного для целевой организации и замаскированного под сообщение от надежного партнера. В письме есть защищенное паролем вложение в формате ZIP или RAR, содержащее файл Microsoft Excel (.XLSM) с вредоносным макросом. При запуске кода в каталоге запуска создается исполняемый файл Flagpro.
При первом запуске Flagpro подключается к серверу командному серверу через HTTP и отправляет данные идентификатора системы, полученные путем выполнения встроенных команд ОС. В ответ командный сервер может отправить обратно дополнительные команды или полезную нагрузку второго уровня, которую может выполнить Flagpro. Связь между ними кодируется с помощью Base64, а также существует настраиваемая временная задержка между подключениями во избежание создания шаблона идентифицируемых операций.
Согласно отчету экспертов из компании NTT Security, Flagpro использовался против японских фирм по крайней мере с октября 2020 года. Последний образец, который исследователи смогли идентифицировать, датируется июлем 2021 года.
Список жертв включает компании из различных секторов, в том числе оборонную промышленность, средства массовой информации и коммуникации.
Исследователи также обнаружили версию Flagpro, способную автоматически закрывать диалоги, относящиеся к установлению внешних соединений, которые могут раскрыть присутствие вредоноса.
«В реализации Flagpro v1.0, если отображается диалоговое окно с названием «Windows セ キ ュ リ テ ィ» при обращении к внешнему сайту, Flagpro автоматически нажимает кнопку ОК и закрывает окно. Функция также работает, когда диалог написан на китайском или английском языках. Это указывает на то, что цели преступников находятся в Японии, Тайване и англоязычных странах», — пояснили специалисты.
По словам экспертов, BlackTech также начала использовать другие вредоносы — SelfMake Loader и Spider RAT. Это означает, что злоумышленники активно разрабатывают новые вредоносные программы.
Теги:
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
