بلاك أويسيس إيه بي تي

بلاك أويسيس إيه بي تي

BlackOasis هو الاسم الذي يطلق على مجموعة من المتسللين للتهديد المستمر المتقدم (APT) الذين يقدمون هجمات شديدة الاستهداف ضد ضحايا محددين من منطقة الشرق الأوسط. تستخدم المجموعة أحداثًا من دورة الأخبار المعاصرة لصياغة رسائل بريد إلكتروني تصيد احتيالي ووثائق خدعة تستخدم لإخفاء النشاط التهديد لمجموعة أدواتهم. من بين أهداف BlackOasis APT ممثلو الأمم المتحدة ، ومراسلو الأخبار الإقليميون ، والكيانات الإقليمية ، والنشطاء الدوليون ، ومراكز الفكر. يمتد الانتشار الجيولوجي للضحايا المكتشفة إلى دول روسيا ونيجيريا والعراق وليبيا والأردن والمملكة العربية السعودية وإيران والبحرين وهولندا وأنغولا والمملكة المتحدة وأفغانستان.

يتخصص المتسللون في استغلال ثغرات يوم الصفر ، والتي تؤثر بشكل أساسي على Adobe Flash. حتى الآن ، لاحظ باحثو إنفوسك أن حملات BlakcOasis تستفيد من خمس نقاط ضعف مختلفة في يوم الصفر:

  • CVE-2015-5119 - يونيو 2015
  • CVE -201984 - يونيو 2015
  • CVE-2016-4117 - مايو 2016
  • CVE-2017-8759 - سبتمبر 2017
  • CVE-2017-11292 - أكتوبر 2017

كانت الحمولة النهائية التي تم تسليمها في هجمات BlackOasis دائمًا تقريبًا من عائلة FinSpy.

سلسلة هجوم معقدة

تستخدم BlackOasis APT سلسلة هجوم متطورة متعددة المراحل. في الحملة التي تستغل الثغرة الأمنية CVE-2017-11292 - وهي ثغرة أمنية لتلف الذاكرة موجودة في مجموعات 'com.adobe.tvsdk.mediacore.BufferControlParameters' ، تم إنشاء موطئ قدم أولي من خلال توزيع مستند Office تالف يحمل عنصرًا مضمنًا كائن ActiveX يستفيد من استغلال Flash. عند التنفيذ الناجح ، يتصل كود القشرة للمرحلة الأولى بعنوان ثابت على "hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf" والذي منه يسلم وينفذ كود قشرة للمرحلة الثانية. أثناء هذه الخطوة من الهجوم ، يعمل كود القشرة المنفذ كقطارة لحمولة البرمجيات الخبيثة الفعلية ، لكن هذه ليست المهمة الوحيدة التي يجب أن يؤديها. يقوم أيضًا بتنزيل مستند الطعم الذي سيتم عرضه للمستخدم.

يتم تسليم حمولة FinSpy النهائية كملف يسمى "mo.exe". عند تنفيذه ، فإنه ينشئ ملفات في خمسة مواقع محددة:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

من بين الملفات التي تم تسليمها ، يعد "AdapterTroubleshooter.exe" برنامجًا ثنائيًا شرعيًا يتم استغلاله رغم ذلك كجزء من تقنية اختطاف ترتيب بحث DLL. من ناحية أخرى ، فإن الملف "d3d9.dll" تالف ، وبعد تحميله بواسطة الثنائي الشرعي ، يكون مسؤولاً عن حقن حمولة FinSpy في عملية Winlogon.

الشائع

جار التحميل...