BlackTech siber casusluk APT (gelişmiş kalıcı tehdit) grubu, araştırmacıların ‘Flagpro’ adını verdiği yeni kötü amaçlı yazılımları kullanarak Japon şirketlerini hedef alırken tespit edildi.
Tehdit aktörü, ağ keşfi için bir saldırının ilk aşamasında, hedefin ortamını değerlendirmek ve ikinci aşama kötü amaçlı yazılımları indirmek ve yürütmek için Flagpro’yu kullanır.
Kurumsal ağları ihlal etmek
Bulaşma zinciri, güvenilir bir ortaktan gelen bir mesajmış gibi davranarak hedef kuruluş için hazırlanmış bir kimlik avı e-postasıyla başlar.
E-posta, kötü amaçlı bir makroyla bağlanmış bir Microsoft Excel dosyası (.XLSM) içeren parola korumalı bir ZIP veya RAR eki taşır. Bu kodu çalıştırmak, başlangıç dizininde Flagpro adlı bir yürütülebilir dosya oluşturur.
Flagpro, ilk çalıştırmasında HTTP aracılığıyla C2 sunucusuna bağlanır ve sabit kodlanmış işletim sistemi komutlarını çalıştırarak elde edilen sistem kimliği ayrıntılarını gönderir.
Yanıt olarak, C2, Flagpro’nun yürütebileceği ek komutları veya ikinci aşamalı bir yükü geri gönderebilir.
İkisi arasındaki iletişim Base64 ile kodlanmıştır ve ayrıca, tanımlanabilir bir operasyon modeli oluşturmamak için bağlantılar arasında yapılandırılabilir bir zaman gecikmesi vardır.
NTT Security tarafından hazırlanan bir rapora göre Flagpro, en az Ekim 2020’den bu yana bir yıldan fazla bir süredir Japon firmalarına karşı kullanılıyor. Araştırmacıların bulabildiği en son örnek Temmuz 2021’e ait.
Hedeflenen varlıklar, savunma teknolojileri, medya ve iletişim dahil olmak üzere çeşitli sektörlerdendir.
Flagpro v2.0
NTT araştırmacıları, analizlerinin bir noktasında, varlığını kurbana gösterebilecek dış bağlantılar kurmakla ilgili diyalogları otomatik olarak kapatabilen Flagpro’nun yeni bir versiyonunu fark ettiler.
“Flagpro v1.0 uygulamasında, Flagpro harici bir siteye eriştiğinde “Windows セキュリティ” başlıklı bir iletişim kutusu görüntülenirse, Flagpro diyaloğu kapatmak için otomatik olarak Tamam düğmesini tıklar” diye açıklıyor. NTT Güvenlik raporu.
“Bu işlem, diyalog Çince veya İngilizce olarak yazıldığında da çalışır. Hedeflerin Japonya, Tayvan ve İngilizce konuşulan ülkelerde olduğunu gösteriyor.”
Muhtemelen Çinli bir aktör
BlackTech APT, daha az bilinen bir aktördür. TrendMikro Araştırmacılar ilk olarak 2017 yazında tespit edildi ve Çin ile ilişkilendirildi.
Tipik hedefleri Tayvan’dır, ancak zaman zaman Japonya ve Hong Kong’daki şirketlere teknoloji çalmak için saldırdı.
Şubat 2021’de Birim 42 raporu BlackTech’i WaterBear’a bağladı; Çin hükümeti tarafından desteklendiğine inanılan başka bir siber casusluk grubu.
Bir APT olarak BlackTech, araçlarını bunun gibi yeni raporlara göre ayarlayacak bilgi ve deneyime sahiptir, bu nedenle Flagpro muhtemelen şimdi daha gizli dağıtım için değiştirilecektir.
NTT raporu şu sonuca varıyor: “Son zamanlarda, onlar (BlackTech) “SelfMake Loader” ve “Spider RAT” adlı başka yeni kötü amaçlı yazılımları kullanmaya başladılar. Bu, aktif olarak yeni kötü amaçlı yazılım geliştirdikleri anlamına geliyor.”
Savunucuların, yeni kötü amaçlı yazılımla ilgili yeni güvenlik açığı göstergelerini dikkate almaları ve BlackTech gibi karmaşık tehditlere karşı güçlü savunmaları sürdürmek için tüm en iyi güvenlik uygulamalarını izlemeleri gerekir.