{
	"id": "81239a49-3793-4053-9049-96876b676761",
	"created_at": "2026-04-06T00:15:53.473148Z",
	"updated_at": "2026-04-10T03:32:09.465935Z",
	"deleted_at": null,
	"sha1_hash": "d3a9b52a250e4abc5d6e92b3033dcc832e3ce269",
	"title": "標的型攻撃グループBlackTechが使用するマルウェアFlagproについて",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 511715,
	"plain_text": "標的型攻撃グループBlackTechが使用するマルウェアFlagproに\r\nついて\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2021-10-08 · Archived: 2026-04-05 22:45:16 UTC\r\nBy Hiroki Hada\r\nPublished October 8, 2021 | Japanese\r\n本日の記事は、SOC アナリスト 小池 倫太郎、小澤 文生 の記事です。\r\n---\r\nはじめに\r\nBlackTechは2021年も引き続き活発に攻撃を続けており、日本企業を狙った攻撃が複数観測されていま\r\nす。そうした攻撃の中で、新たなマルウェアが使用されており、私たちはそれをFlagproと呼んでいま\r\nす。ここでは、Flagproの概要やタイムライン、詳細な解析結果を共有します。\r\n攻撃の概要\r\nFlagproは攻撃の初期段階で使用されるマルウェアで、攻撃環境の調査や2次検体のダウンロード・実行\r\nに使用されます。Flagproを用いた攻撃はおおよそ似通った形式で、攻撃はスピアフィッシングメール\r\nから始まります。メールは標的組織に適した内容で、取引先などとの連絡のように見せかけた文面と\r\nなっており、攻撃者が事前に標的組織を調べ上げたことが分かります。\r\nメールにはパスワード保護されたアーカイブファイル（ZIPやRAR形式）が添付されており、メール本\r\n文にそのファイルを展開するためのパスワードが書かれています。アーカイブファイルには、xlsm形\r\n式のオフィスファイルが含まれています。xlsmファイルにはマクロが仕込まれており、ユーザがその\r\nマクロを有効化してしまうことでマルウェアが展開されます。xlsmファイルに含まれているコンテン\r\nツは標的組織に適した内容であることがあり、一見すると攻撃であることは気づきにくくなっていま\r\nす。\r\nxlsmファイルに仕込まれたマクロが実行されると、スタートアップディレクトリにexeファイルが作成\r\nされます。このexeファイルがFlagproです。多くの場合、ここで作成されるexeファイルはdwm.exeとい\r\nう名前となっています。次にシステムが起動したとき、スタートアップディレクトリに配置された\r\nFlagproが実行されます。\r\nFlagproはC\u0026Cサーバと通信を行い、サーバからコマンドを受け取って実行したり、2次検体をダウンロ\r\nードして実行したりします。攻撃者は最初に環境調査を行い、Flagproの動作環境が標的として適して\r\nいるか調査します。適していると判断した場合、2次検体がダウンロード・実行されます。\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 1 of 6\n\nタイムライン\r\n私たちは防衛、メディア、通信に関わる複数の企業に対する攻撃でFlagproが使用されていることを確\r\n認しています。2020年10月にはオンラインサービスへ投稿されたサンプルが存在しており、その時点\r\nで攻撃に使用されていた可能性があります。\r\nFlagproの機能\r\nSOCでは、2021年7月に、従来のFlagproではみられなかった、MFC (Microsoft Foundation Class) ライブ\r\nラリを使用して実装された新たなFlagproを確認しました。このFlagproに実装されたクラスの中\r\nに、”CV20_LoaderApp”や”CV20_LoaderDlg”という名前のクラスが存在していました。このクラス名か\r\nら、Flagproの役割がDownloaderであり、検体のバージョンが2.0であることが推測されます。\r\n本記事では、MFCが使用された当該検体をFlagpro v2.0とし、MFCが使用されていない従来の検体を便\r\n宜上、Flagpro v1.0と呼称していきます。\r\nFlagproに実装されている主要な機能は以下の通りで、Flagpro v2.0ではCV20_LoaderAppクラスのメンバ\r\nー関数の中に実装されていました。\r\nツールのダウンロードと実行\r\nOSコマンドの実行と実行結果の送信\r\nWindowsに保存された認証情報の収集と収集した情報の送信\r\nFlagproは起動した後、基本的な動作として、C\u0026Cサーバにコマンドをリクエストし、受信したコマン\r\nドに従って、ツールのダウンロードと実行、OSコマンドの実行と実行結果の送信、Basic認証などの認\r\n証情報の収集と収集した情報の送信を実行します。その後、一定の時間待機した後、コマンドを再度\r\nリクエストし、この一連の動作を繰り返し実行します。\r\nツールのダウンロードと実行では、まず、ダウンロードしたファイルを %Temp%\\~MY[0-9A-F].tmp と\r\nいうファイルパスで保存します。そして、保存したファイル名に拡張子「.exe」を追記して実行しま\r\nす。\r\nFlagpro v1.0では、外部サイトにアクセスした際に、「Windows セキュリティ」というタイトルのダイ\r\nアログが表示されていた場合、自動的にOKボタンを押下してダイアログをクローズさせています。他\r\nに、「Windows 安全」や「Windows Security」といったタイトルのダイアログに対しても同じようにク\r\nローズ処理が実施され、このことから、日本や台湾、英語圏の国をターゲットとしていることが伺え\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 2 of 6\n\nます。Flagpro v2.0では、追加で、ダイアログにユーザ名やパスワードといったログイン情報が記入さ\r\nれていることを確認してから、ダイアログのOKボタンを自動的に押下させています。\r\nまた、Flagpro v2.0で実装されたものですが、外部サイトにアクセスした際に、タイトルが「Internet\r\nExplorer 7」から「Internet Explorer 11」までのダイアログが表示されていた場合、該当するダイアログ\r\nにWM_CLOSEメッセージを送信し、ダイアログを自動的にクローズさせています。\r\nこうしたダイアログを自動的にクローズさせる機能は、Proxy認証の確認ダイアログが表示されるなど\r\nといった、Flagproによる外部接続をユーザに気付かれてしまうリスクを低減させるために実装された\r\nものだと推測されます。\r\nFlagpro v2.0では、簡便な難読化として、以下のように、同じコードを繰り返し挿入し、重要な処理を\r\nみえにくくしていました。\r\n受信コマンド\r\nC\u0026Cサーバから取得したコマンドはBase64方式でエンコードされており、デコードすると、Flagpro\r\nv2.0の場合、以下のような形式となっていました\r\nDownload Commandは、以下のように、2つのフラグとダウンロードファイルのURLパスで構成されて\r\nいます。冒頭の文字列”Exec”は活動フラグになっており、これがDownload Command 1とDownload\r\nCommand 2の両方に記載されていないとダウンロードやOSコマンド実行、認証情報の収集といった主\r\n要な処理が実施されません。次の文字列”Yes”は実行フラグとなっており、これが記載されていない\r\nと、ダウンロードしたファイルは実行されません。\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 3 of 6\n\nTime Intervalは次にコマンドをリクエストするまでの待機時間で、単位はミリ秒です。\r\n実際に、C\u0026Cサーバから受信したコマンド例を以下に示します。\r\nC\u0026C通信\r\nFlagpro v1.0とv2.0によるC\u0026Cサーバとの通信処理は、Internet ExplorerのCOMオブジェクトを使用して\r\n実装されています。C\u0026Cサーバとの通信はHTTPプロトコルを使用しています。\r\nコマンドをリクエストする場合やOSコマンドの実行結果を送信する場合、そして、収集した認証情報\r\nを送信する場合、それぞれ以下に示す特定のURLパスとクエリーでC\u0026Cサーバにアクセスしにいきま\r\nす。送信データはBase64方式でエンコードされ、URLパラメータの値としてC\u0026Cサーバに送られてい\r\nます。\r\nアクセスの目的 URLパスとクエリー\r\nコマンドのリクエスト /index.html\r\nOSコマンドの実行結果の送信 /index.htmld?flag=[Encode Data]\r\n認証情報の送信 /index.htmld?flagpro=[Encoded Data]\r\nツールをダウンロードする場合は、サーバに設置されているファイルの名前に依存するため、特定の\r\nURLパスはありません。\r\n実際に、Flagpro v2.0がC\u0026Cサーバと通信した際のトラフィック（コマンドのリクエスト）を以下に示\r\nします。\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 4 of 6\n\n2021年7月時点で、レスポンスが必要となるコマンドリクエストやダウンロード以外のURLパスとクエ\r\nリーでアクセスした場合、C\u0026Cサーバは以下のようなレスポンスを返しました。レスポンスボディに\r\nは、意図は不明ですが、「Hello Boy!」と記載されていました。\r\n検知ロジック\r\nFlagproを用いた攻撃では、ネットワークおよびエンドポイントでの検知ロジックが有効です。ネット\r\nワークによる検知の場合、Flagproが使用する index.htmld?flag=[Base64文字列] や index.htmld?flagpro=\r\n[Base64文字列] などの特徴的なURLパスを用いることができます。\r\nエンドポイントにおける検知としては、FlagproがC\u0026Cサーバからデータを取得するときに使用される\r\n一時ファイルの命名規則 %TEMP%\\~MY[0-9A-F].tmp や %TEMP%\\~MY[0-9A-F].tmp.exe を用いること\r\nができます。また、FlagproがC\u0026Cサーバとの通信成立初期に実行する調査コマンドも特徴となりえま\r\nす。\r\nおわりに\r\n2020年10月頃から、Flagproを使用した攻撃が日本に対して行われています。基本的に攻撃の手法に変\r\n化はありませんが、標的に合わせてデコイファイルやファイル名を設定したり、環境を注意深くチェ\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 5 of 6\n\nックしたりと、巧妙な攻撃となっています。今後もBlackTechによる攻撃には細心の注意を払う必要が\r\nあるでしょう。\r\nIoC\r\n54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b\r\ne197c583f57e6c560b576278233e3ab050e38aa9424a5d95b172de66f9cfe970\r\n655ca39beb2413803af099879401e6d634942a169d2f57eb30f96154a78b2ad5\r\n840ce62f92fc519cd1a33b62f4b9f92a962b7fb28c12d2f607dec0b520e6a4b2\r\nba27ae12e6f3c2c87fd2478072dfa2747d368a507c69cd90b653c9e707254a1d\r\n45[.]76.184.227\r\n45[.]32.23.140\r\n139[.]162.87.180\r\n107[.]191.61.40\r\norg.misecure[.]com\r\nupdate.centosupdates[.]com\r\nSource: https://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nhttps://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro"
	],
	"report_names": [
		"blacktechflagpro"
	],
	"threat_actors": [
		{
			"id": "efa7c047-b61c-4598-96d5-e00d01dec96b",
			"created_at": "2022-10-25T16:07:23.404442Z",
			"updated_at": "2026-04-10T02:00:04.584239Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"BlackTech",
				"Canary Typhoon",
				"Circuit Panda",
				"Earth Hundun",
				"G0098",
				"Manga Taurus",
				"Operation PLEAD",
				"Operation Shrouded Crossbow",
				"Operation Waterbear",
				"Palmerworm",
				"Radio Panda",
				"Red Djinn",
				"T-APT-03",
				"TEMP.Overboard"
			],
			"source_name": "ETDA:BlackTech",
			"tools": [
				"BIFROST",
				"BUSYICE",
				"BendyBear",
				"Bluether",
				"CAPGELD",
				"DRIGO",
				"Deuterbear",
				"Flagpro",
				"GOODTIMES",
				"Gh0stTimes",
				"IconDown",
				"KIVARS",
				"LOLBAS",
				"LOLBins",
				"Linopid",
				"Living off the Land",
				"TSCookie",
				"Waterbear",
				"XBOW",
				"elf.bifrose"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "2646f776-792a-4498-967b-ec0d3498fdf1",
			"created_at": "2022-10-25T15:50:23.475784Z",
			"updated_at": "2026-04-10T02:00:05.269591Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"BlackTech",
				"Palmerworm"
			],
			"source_name": "MITRE:BlackTech",
			"tools": [
				"Kivars",
				"PsExec",
				"TSCookie",
				"Flagpro",
				"Waterbear"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "75024aad-424b-449a-b286-352fe9226bcb",
			"created_at": "2023-01-06T13:46:38.962724Z",
			"updated_at": "2026-04-10T02:00:03.164536Z",
			"deleted_at": null,
			"main_name": "BlackTech",
			"aliases": [
				"CIRCUIT PANDA",
				"Temp.Overboard",
				"Palmerworm",
				"G0098",
				"T-APT-03",
				"Manga Taurus",
				"Earth Hundun",
				"Mobwork",
				"HUAPI",
				"Red Djinn",
				"Canary Typhoon"
			],
			"source_name": "MISPGALAXY:BlackTech",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "3b93ef3c-2baf-429e-9ccc-fb80d0046c3b",
			"created_at": "2025-08-07T02:03:24.569066Z",
			"updated_at": "2026-04-10T02:00:03.730864Z",
			"deleted_at": null,
			"main_name": "BRONZE CANAL",
			"aliases": [
				"BlackTech",
				"CTG-6177 ",
				"Circuit Panda ",
				"Earth Hundun",
				"Palmerworm ",
				"Red Djinn",
				"Shrouded Crossbow "
			],
			"source_name": "Secureworks:BRONZE CANAL",
			"tools": [
				"Bifrose",
				"DRIGO",
				"Deuterbear",
				"Flagpro",
				"Gh0stTimes",
				"KIVARS",
				"PLEAD",
				"Spiderpig",
				"Waterbear",
				"XBOW"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434553,
	"ts_updated_at": 1775791929,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d3a9b52a250e4abc5d6e92b3033dcc832e3ce269.pdf",
		"text": "https://archive.orkl.eu/d3a9b52a250e4abc5d6e92b3033dcc832e3ce269.txt",
		"img": "https://archive.orkl.eu/d3a9b52a250e4abc5d6e92b3033dcc832e3ce269.jpg"
	}
}