تراخيص الأجهزة المتعددة (خصومات كبيرة)
Threat Database Advanced Persistent Threat (APT) بلاك أويسيس إيه بي تي

بلاك أويسيس إيه بي تي

بواسطة GoldSparrow في Advanced Persistent Threat (APT)
ترجمة الى:
العربية

BlackOasis هو الاسم الذي يطلق على مجموعة من المتسللين للتهديد المستمر المتقدم (APT) الذين يقدمون هجمات شديدة الاستهداف ضد ضحايا محددين من منطقة الشرق الأوسط. تستخدم المجموعة أحداثًا من دورة الأخبار المعاصرة لصياغة رسائل بريد إلكتروني تصيد احتيالي ووثائق خدعة تستخدم لإخفاء النشاط التهديد لمجموعة أدواتهم. من بين أهداف BlackOasis APT ممثلو الأمم المتحدة ، ومراسلو الأخبار الإقليميون ، والكيانات الإقليمية ، والنشطاء الدوليون ، ومراكز الفكر. يمتد الانتشار الجيولوجي للضحايا المكتشفة إلى دول روسيا ونيجيريا والعراق وليبيا والأردن والمملكة العربية السعودية وإيران والبحرين وهولندا وأنغولا والمملكة المتحدة وأفغانستان.

يتخصص المتسللون في استغلال ثغرات يوم الصفر ، والتي تؤثر بشكل أساسي على Adobe Flash. حتى الآن ، لاحظ باحثو إنفوسك أن حملات BlakcOasis تستفيد من خمس نقاط ضعف مختلفة في يوم الصفر:

  • CVE-2015-5119 - يونيو 2015
  • CVE -201984 - يونيو 2015
  • CVE-2016-4117 - مايو 2016
  • CVE-2017-8759 - سبتمبر 2017
  • CVE-2017-11292 - أكتوبر 2017

كانت الحمولة النهائية التي تم تسليمها في هجمات BlackOasis دائمًا تقريبًا من عائلة FinSpy.

سلسلة هجوم معقدة

تستخدم BlackOasis APT سلسلة هجوم متطورة متعددة المراحل. في الحملة التي تستغل الثغرة الأمنية CVE-2017-11292 - وهي ثغرة أمنية لتلف الذاكرة موجودة في مجموعات 'com.adobe.tvsdk.mediacore.BufferControlParameters' ، تم إنشاء موطئ قدم أولي من خلال توزيع مستند Office تالف يحمل عنصرًا مضمنًا كائن ActiveX يستفيد من استغلال Flash. عند التنفيذ الناجح ، يتصل كود القشرة للمرحلة الأولى بعنوان ثابت على "hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf" والذي منه يسلم وينفذ كود قشرة للمرحلة الثانية. أثناء هذه الخطوة من الهجوم ، يعمل كود القشرة المنفذ كقطارة لحمولة البرمجيات الخبيثة الفعلية ، لكن هذه ليست المهمة الوحيدة التي يجب أن يؤديها. يقوم أيضًا بتنزيل مستند الطعم الذي سيتم عرضه للمستخدم.

يتم تسليم حمولة FinSpy النهائية كملف يسمى "mo.exe". عند تنفيذه ، فإنه ينشئ ملفات في خمسة مواقع محددة:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

من بين الملفات التي تم تسليمها ، يعد "AdapterTroubleshooter.exe" برنامجًا ثنائيًا شرعيًا يتم استغلاله رغم ذلك كجزء من تقنية اختطاف ترتيب بحث DLL. من ناحية أخرى ، فإن الملف "d3d9.dll" تالف ، وبعد تحميله بواسطة الثنائي الشرعي ، يكون مسؤولاً عن حقن حمولة FinSpy في عملية Winlogon.

الشائع

"YouPorn" احتيال البريد الإلكتروني

Spam
بعد فحص شامل لرسائل البريد الإلكتروني الخاصة بـ "YouPorn"، أكد خبراء الأمن السيبراني طبيعتها الاحتيالية. تعد رسائل البريد الإلكتروني هذه جزءًا من أشكال مختلفة من البريد العشوائي، وكلها تشبه أساليب الابتزاز الجنسي. القاسم المشترك بين رسائل البريد الإلكتروني الخادعة هذه هو التأكيد الملفق على أن المستلم متورط في مواد جنسية صريحة تم نشرها مؤخرًا على موقع YouPorn. تقدم رسائل البريد الإلكتروني بعد...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
14,963
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...