BlackOasis APT

BlackOasis APT

BlackOasis és el nom donat a un grup de pirates informàtics d'amenaça persistent avançada (APT) que ofereixen atacs molt específics contra víctimes específiques de la regió de l'Orient Mitjà. El grup utilitza esdeveniments del cicle de notícies contemporani per elaborar correus electrònics de pesca de pesca i documents seductors utilitzats per amagar l'activitat amenaçadora del seu conjunt d'eines. Entre els objectius de BlackOasis APT hi ha representants de l'ONU, corresponsals de notícies regionals, entitats regionals, activistes internacionals i grups de reflexió. La propagació geològica de les víctimes detectades abasta els països de Rússia, Nigèria, Iraq, Líbia, Jordània, Aràbia Saudita, Iran, Bahrain, Països Baixos, Angola, Regne Unit i Afganistan.

Els pirates informàtics s'especialitzen en l'explotació de vulnerabilitats de dia zero, que afecten principalment Adobe Flash. Fins ara, els investigadors d'infosec han observat campanyes de BlakcOasis aprofitant cinc vulnerabilitats diferents de dia zero:

  • CVE-2015-5119 – juny de 2015
  • CVE-2016-0984 – juny 2015
  • CVE-2016-4117 – maig de 2016
  • CVE-2017-8759 – setembre de 2017
  • CVE-2017-11292 – Octubre de 2017

La càrrega útil final lliurada en els atacs de BlackOasis gairebé sempre ha estat de la família FinSpy.

Cadena d'atac complexa

BlackOasis APT empra una cadena d'atac sofisticada de diverses etapes. A la campanya que explotava la vulnerabilitat CVE-2017-11292, una vulnerabilitat de corrupció de memòria que existeix a la classe " com.adobe.tvsdk.mediacore.BufferControlParameters ", el punt de partida inicial es va establir mitjançant la distribució d'un document d'Office malmès que portava una incrustació. Objecte ActiveX que aprofita l'explotació de Flash. Un cop s'executa correctament, el codi d'intèrpret d'ordres de la primera etapa contacta amb una adreça codificada a 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' des de la qual lliura i executa un codi d'intèrpret d'ordres de segona etapa. Durant aquest pas de l'atac, el codi d'intèrpret d'ordres executat actua com a comptador de la càrrega útil real de programari maliciós, però aquesta no és l'única tasca que ha de realitzar. També descarrega el document d'engany que es mostrarà a l'usuari.

La càrrega útil final de FinSpy es lliura com a fitxer anomenat " mo.exe". Quan s'executa, crea fitxers en cinc ubicacions específiques:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Entre els fitxers lliurats, "AdapterTroubleshooter.exe" és un binari legítim que, tanmateix, s'explota com a part d'una tècnica de segrest d'ordres de cerca de DLL. El fitxer 'd3d9.dll', en canvi, està malmès i, després de ser carregat pel binari legítim, s'encarrega d'injectar la càrrega útil de FinSpy al procés Winlogon.

Loading...