FlagPro haittaohjelma

Flagpro on uusi haittaohjelmakanta, jonka oletettavasti käytti joukko kyberrikollisia monitasoisten verkkotiedusteluhyökkäysten ensimmäisissä vaiheissa. Alun perin Japanissa sijaitseville yrityksille suunnattu Flagpro tunkeutuu verkkoihin tuodakseen ja suorittaakseen lisää haittaohjelmia.

Hyökkäyksistä vastaavan kybergangin BlackTechin käyttämä tartuntavektori on vanha kunnon tietojenkalasteluhuijaus. Aidon näköisen yrityskirjeen varjolla verhottu Flagpro saapuu haittaohjelmien sisältävänä makrotiedostona liitetyssä, salasanalla suojatussa Microsoft Excel -tiedostossa. Kun asiakirja avataan, se suorittaa Flagpron käynnistysprosessina. Jälkimmäinen lähettää järjestelmätiedot ulkoiseen Command-and-Control (C&C) -keskukseen ja odottaa lisäohjeita.

Tietojen mukaan yli vuoden liikkeessä ollut Flagpro on ollut olemassa kahdessa versiossa, joiden välillä on pieniä koodieroja. Toisin kuin v1.0, v2.0 sulkee automaattisesti kaikki valintaikkunat, jotka paljastavat sen viestinnän ulkoisen C&C-palvelimen kanssa. Koska tällainen kontakti tapahtuu pääasiassa englanniksi ja kiinaksi, oletamme, että BlackTech APT cybergangilla voi olla kiinalaista alkuperää. Lisäksi BlackTechillä näyttää olevan vahvat siteet pahamaineiseen WaterBear-vakoiluryhmään, jonka uskotaan myös saaneen alkunsa Kiinasta.

Koska Flagpro-versioita on kaksi, emme voi sulkea pois mahdollisuutta, että lähitulevaisuudessa on tulossa lisää variantteja. Sinun on parempi pitää haittaohjelmien torjuntatyökalusi käynnissä, jotta mahdolliset Flagpro-tartunnat eivät pääse tietokoneellesi.