BlackOasis APT

BlackOasis е името, дадено на група хакери за напреднали постоянни заплахи (APT), които извършват високо насочени атаки срещу конкретни жертви от близкоизточния регион. Групата използва събития от цикъла на съвременните новини, за да изработи фишинг имейли и документи за примамка, използвани за скриване на заплашващата дейност на техния инструментариум. Сред целите на BlackOasis APT са представители на ООН, регионални кореспонденти на новини, регионални организации, международни активисти и мозъчни тръстове. Геоложкото разпространение на разкритите жертви обхваща страните Русия, Нигерия, Ирак, Либия, Йордания, Саудитска Арабия, Иран, Бахрейн, Холандия, Ангола, Обединеното кралство и Афганистан.

Хакерите са специализирани в експлоатацията на уязвимости от нулев ден, засягащи основно Adobe Flash. Досега изследователите на infosec са наблюдавали кампании на BlakcOasis, които се възползват от пет различни уязвимости с нулев ден:

• CVE-2015-5119 – юни 2015 г
• CVE-2016-0984 – юни 2015 г
• CVE-2016-4117 – май 2016 г
• CVE-2017-8759 – септември 2017 г
• CVE-2017-11292 – октомври 2017 г

Последният полезен товар, доставен при атаките от BlackOasis, почти винаги е бил от семейството на FinSpy.

Комплексна верига за атака

BlackOasis APT използва сложна многоетапна верига за атака. В кампанията, използваща уязвимостта CVE-2017-11292 - уязвимост от повреда на паметта, която съществува в класовете 'com.adobe.tvsdk.mediacore.BufferControlParameters', първоначалната опора беше установена чрез разпространението на повреден документ на Office, който носеше вграден ActiveX обект, използващ експлойта на Flash. При успешно изпълнение, шелкодът от първия етап се свързва с твърдо кодиран адрес на „hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf“, от който доставя и изпълнява шелкод от втори етап. По време на тази стъпка от атаката, изпълненият шел код действа като капкомер за действителното полезно натоварване на зловреден софтуер, но това не е единствената задача, която трябва да изпълнява. Той също така изтегля документа за примамка, който ще бъде показан на потребителя.

Окончателният полезен товар на FinSpy се доставя като файл с име ' mo.exe. ' Когато се изпълни, той създава файлове на пет конкретни места:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Сред доставените файлове „AdapterTroubleshooter.exe“ е легитимен двоичен файл, който въпреки това се използва като част от техника за отвличане на поръчка за търсене в DLL. Файлът 'd3d9.dll', от друга страна, е повреден и след като е зареден от легитимния двоичен файл, е отговорен за инжектирането на полезния товар на FinSpy в процеса на Winlogon.