FlagProマルウェア
Flagproは、マルチレベルのネットワーク偵察攻撃の最初の段階でサイバー犯罪者のグループによって展開されたと思われる新しいマルウェア株です。 Flagproは当初、日本を拠点とする企業を標的としており、ネットワークに侵入して追加のマルウェアを持ち込み、実行します。
攻撃を担当するサイバーギャングであるBlackTechが使用する感染ベクトルは、古き良きフィッシング詐欺です。 Flagproは、本物のように見えるビジネス通信を装って、パスワードで保護された添付のMicrosoftExcelファイル内にマルウェアを含むマクロファイルとして届きます。ドキュメントを開くと、Flagproが起動プロセスとして実行されます。後者は、システムデータを外部のコマンドアンドコントロール(C&C)センターに送信し、さらなる指示を待ちます。
伝えられるところによると、現在1年以上流通している、Flagproは2つのバージョンで存在し、その間にわずかなコードの違いがあります。 v1.0とは異なり、v2.0は、外部C&Cサーバーとの通信を表示するダイアログボックスを自動的に閉じます。このような接触は主に英語と中国語で発生するため、BlackTechAPTサイバーギャングは中国を起源としている可能性があります。さらに、BlackTechは、悪名高いWaterBearスパイチームと強いつながりを持っているようです。これも中国に由来すると考えられています。
Flagproのバージョンが2つあることを考えると、近い将来、さらに多くのバリアントが登場する可能性を排除することはできません。潜在的なFlagpro感染がPCに到達するのを防ぐために、マルウェア対策ツールを稼働させたままにしておくことをお勧めします。
