BlackOasis APT

BlackOasis APT

BlackOasis je název pro skupinu hackerů APT (Advanced Persistent Threat), která provádí vysoce cílené útoky proti konkrétním obětem z oblasti Blízkého východu. Skupina využívá události ze současného zpravodajského cyklu k vytváření e-mailů typu spear-phishing a návnady dokumentů používaných ke skrytí hrozivé aktivity jejich sady nástrojů. Mezi cíle BlackOasis APT patří zástupci OSN, regionální zpravodajové, regionální subjekty, mezinárodní aktivisté a think-tanky. Geologické rozšíření odhalených obětí zahrnuje země Rusko, Nigérii, Irák, Libyi, Jordánsko, Saúdskou Arábii, Írán, Bahrajn, Nizozemsko, Angolu, Spojené království a Afghánistán.

Hackeři se specializují na zneužívání zero-day zranitelností, které postihují především Adobe Flash. Výzkumníci z infosec zatím pozorovali kampaně BlakcOasis využívající pět různých zranitelností zero-day:

  • CVE-2015-5119 – červen 2015
  • CVE-2016-0984 – červen 2015
  • CVE-2016-4117 – květen 2016
  • CVE-2017-8759 – září 2017
  • CVE-2017-11292 – říjen 2017

Konečné užitečné zatížení při útocích BlackOasis bylo téměř vždy z rodiny FinSpy.

Komplexní útočný řetězec

BlackOasis APT využívá sofistikovaný vícestupňový řetězec útoků. V kampani využívající zranitelnost CVE-2017-11292 – zranitelnost poškození paměti, která existuje ve třídě ' com.adobe.tvsdk.mediacore.BufferControlParameters ', byla počáteční opora vytvořena distribucí poškozeného dokumentu Office, který obsahoval vložené Objekt ActiveX využívající využití Flash. Po úspěšném spuštění se shell kód první fáze spojí s pevně zakódovanou adresou na 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', ze které doručí a spustí shell kód druhé fáze. Během tohoto kroku útoku se spuštěný kód shellu chová jako kapátko pro skutečné užitečné zatížení malwaru, ale to není jediný úkol, který musí provést. Stáhne také návnadu dokument, který se zobrazí uživateli.

Konečné užitečné zatížení FinSpy je doručeno jako soubor s názvem ' mo.exe. Po spuštění vytvoří soubory v pěti konkrétních umístěních:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Mezi dodanými soubory je 'AdapterTroubleshooter.exe' legitimní binární soubor, který je nicméně zneužíván jako součást techniky únosu příkazu hledání DLL. Soubor 'd3d9.dll' je na druhé straně poškozen a po načtení legitimním binárním souborem je zodpovědný za vložení užitečného zatížení FinSpy do procesu Winlogon.

Trending

Loading...