BlackOasis APT

BlackOasis APT

BlackOasis er navnet på en gruppe af hackere med avanceret vedvarende trussel (APT), der leverer meget målrettede angreb mod specifikke ofre fra Mellemøsten. Gruppen bruger begivenheder fra den moderne nyhedscyklus til at fremstille spear-phishing-e-mails og lokkedokumenter, der bruges til at skjule den truende aktivitet i deres værktøjssæt. Blandt målene for BlackOasis APT er FN-repræsentanter, regionale nyhedskorrespondenter, regionale enheder, internationale aktivister og tænketanke. Den geologiske spredning af opdagede ofre spænder over landene Rusland, Nigeria, Irak, Libyen, Jordan, Saudi-Arabien, Iran, Bahrain, Holland, Angola, Storbritannien og Afghanistan.

Hackerne har specialiseret sig i udnyttelse af nul-dags sårbarheder, der primært påvirker Adobe Flash. Indtil videre har infosec-forskere observeret BlakcOasis-kampagner, der udnytter fem forskellige nul-dags sårbarheder:

  • CVE-2015-5119 - juni 2015
  • CVE-2016-0984 - juni 2015
  • CVE-2016-4117 - Maj 2016
  • CVE-2017-8759 - september 2017
  • CVE-2017-11292 - oktober 2017

Den endelige nyttelast leveret i angrebene fra BlackOasis har næsten altid været fra FinSpy-familien.

Kompleks angrebskæde

BlackOasis APT anvender en sofistikeret angrebskæde i flere trin. I kampagnen, der udnytter sårbarheden CVE-2017-11292 - en sårbarhed i hukommelseskorruption, der findes i ' com.adobe.tvsdk.mediacore.BufferControlParameters ' clas, blev det oprindelige fodfæste etableret gennem distribution af et korrupt Office-dokument, der bar en indlejring ActiveX-objekt, der udnytter Flash-udnyttelsen. Efter vellykket udførelse kontakter den første trins shellcode en hardkodet adresse ved 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf', hvorfra den leverer og udfører en anden-trins shellcode. I løbet af dette trin i angrebet fungerer den udførte shell-kode som en dropper for den faktiske malware-nyttelast, men det er ikke den eneste opgave, den skal udføre. Det downloader også det lokkedokument, der vises til brugeren.

Den endelige FinSpy- nyttelast leveres som en fil med navnet ' mo.exe. 'Når den udføres, opretter den filer fem specifikke placeringer:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Blandt de leverede filer er 'AdapterTroubleshooter.exe' en legitim binær, der ikke desto mindre udnyttes som en del af en DLL-søgningskapringsteknik. Filen 'd3d9.dll' er på den anden side beskadiget, og efter at være blevet indlæst af legit binær er den ansvarlig for at injicere FinSpy-nyttelasten i Winlogon-processen.

Trending

Indlæser...