BlackOasis APT

BlackOasis হল একটি Advanced Persistent Threat (APT) গ্রুপের হ্যাকারদের দেওয়া নাম যা মধ্যপ্রাচ্য অঞ্চল থেকে নির্দিষ্ট শিকারদের বিরুদ্ধে উচ্চ-লক্ষ্যযুক্ত আক্রমণ সরবরাহ করে। গোষ্ঠীটি সমসাময়িক সংবাদ চক্রের ঘটনাগুলিকে স্পিয়ার-ফিশিং ইমেল তৈরি করতে এবং তাদের টুলকিটের হুমকিমূলক কার্যকলাপ লুকানোর জন্য ব্যবহৃত নথিগুলিকে ব্যবহার করে৷ BlackOasis APT-এর লক্ষ্যবস্তুর মধ্যে রয়েছে জাতিসংঘের প্রতিনিধি, আঞ্চলিক সংবাদ সংবাদদাতা, আঞ্চলিক সংস্থা, আন্তর্জাতিক অ্যাক্টিভিস্ট এবং থিঙ্ক ট্যাঙ্ক। শনাক্ত শিকারদের ভূতাত্ত্বিক বিস্তার রাশিয়া, নাইজেরিয়া, ইরাক, লিবিয়া, জর্ডান, সৌদি আরব, ইরান, বাহরাইন, নেদারল্যান্ডস, অ্যাঙ্গোলা, যুক্তরাজ্য এবং আফগানিস্তান জুড়ে বিস্তৃত।

হ্যাকাররা শূন্য-দিনের দুর্বলতার শোষণে বিশেষজ্ঞ, প্রধানত অ্যাডোব ফ্ল্যাশকে প্রভাবিত করে। এখনও অবধি, ইনফোসেক গবেষকরা পাঁচটি ভিন্ন শূন্য-দিনের দুর্বলতার সুবিধা গ্রহণ করে ব্ল্যাককোঅ্যাসিস প্রচারণা পর্যবেক্ষণ করেছেন:

• CVE-2015-5119 – জুন 2015
• CVE-2016-0984 - জুন 2015
• CVE-2016-4117 – মে 2016
• CVE-2017-8759 – সেপ্টেম্বর 2017
• CVE-2017-11292 - অক্টোবর 2017

ব্ল্যাকওসিসের আক্রমণে দেওয়া চূড়ান্ত পেলোডটি প্রায় সবসময়ই ফিনস্পাই পরিবার থেকে এসেছে।

জটিল আক্রমণ চেইন

BlackOasis APT একটি পরিশীলিত মাল্টি-স্টেজ অ্যাটাক চেইন নিয়োগ করে। প্রচারণা জন্য CVE-2017-11292 দুর্বলতার শোষণ ইন - একটি মেমরি দুর্নীতি দুর্বলতার যে 'com.adobe.tvsdk.mediacore.BufferControlParameters' CLAs বিদ্যমান, প্রাথমিক প্রতিষ্ঠা একটি দূষিত Office দস্তাবেজ যে এম্বেড বাহিত বিতরণের মাধ্যমে প্রতিষ্ঠিত হয় অ্যাক্টিভএক্স অবজেক্ট ফ্ল্যাশ শোষণের সুবিধা দিচ্ছে। সফলভাবে সঞ্চালনের পরে, প্রথম-পর্যায়ের শেলকোড 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf'-এ একটি হার্ডকোড করা ঠিকানার সাথে যোগাযোগ করে যেখান থেকে এটি একটি দ্বিতীয়-পর্যায়ের শেলকোড সরবরাহ করে এবং কার্যকর করে। আক্রমণের এই ধাপের সময়, কার্যকর করা শেল কোড প্রকৃত ম্যালওয়্যার পেলোডের জন্য একটি ড্রপার হিসাবে কাজ করে, তবে এটিই একমাত্র কাজ নয় যা এটি করতে হবে। এটি ডিকয় ডকুমেন্টও ডাউনলোড করে যা ব্যবহারকারীর কাছে প্রদর্শিত হবে।

চূড়ান্ত FinSpy পেলোডটি ' mo.exe নামে একটি ফাইল হিসাবে বিতরণ করা হয়৷ ' যখন কার্যকর করা হয়, এটি পাঁচটি নির্দিষ্ট স্থানে ফাইল তৈরি করে:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

বিতরণ করা ফাইলগুলির মধ্যে, 'AdapterTroubleshooter.exe' হল একটি বৈধ বাইনারি যা যদিও DLL সার্চ অর্ডার হাইজ্যাকিং কৌশলের অংশ হিসাবে শোষিত হয়৷ অন্যদিকে 'd3d9.dll' ফাইলটি দূষিত এবং বৈধ বাইনারি দ্বারা লোড হওয়ার পরে, Winlogon প্রক্রিয়ায় FinSpy পেলোড ইনজেকশনের জন্য দায়ী।