BlackOasis APT

Το BlackOasis είναι το όνομα που δόθηκε σε μια ομάδα hackers Advanced Persistent Threat (APT) που εκτελεί επιθέσεις υψηλής στόχευσης εναντίον συγκεκριμένων θυμάτων από την περιοχή της Μέσης Ανατολής. Η ομάδα χρησιμοποιεί γεγονότα από τον σύγχρονο κύκλο ειδήσεων για να δημιουργήσει μηνύματα ηλεκτρονικού ψαρέματος με δόρυ και να παραπλανήσει έγγραφα που χρησιμοποιούνται για να κρύψουν την απειλητική δραστηριότητα της εργαλειοθήκης τους. Μεταξύ των στόχων του BlackOasis APT είναι εκπρόσωποι του ΟΗΕ, περιφερειακοί ανταποκριτές ειδήσεων, περιφερειακές οντότητες, διεθνείς ακτιβιστές και δεξαμενές σκέψης. Η γεωλογική εξάπλωση των εντοπισμένων θυμάτων εκτείνεται στις χώρες Ρωσία, Νιγηρία, Ιράκ, Λιβύη, Ιορδανία, Σαουδική Αραβία, Ιράν, Μπαχρέιν, Ολλανδία, Αγκόλα, Ηνωμένο Βασίλειο και Αφγανιστάν.

Οι χάκερ ειδικεύονται στην εκμετάλλευση τρωτών σημείων zero-day, που επηρεάζουν κυρίως το Adobe Flash. Μέχρι στιγμής, οι ερευνητές του infosec έχουν παρατηρήσει καμπάνιες BlakcOasis εκμεταλλευόμενες πέντε διαφορετικές ευπάθειες zero-day:

• CVE-2015-5119 – Ιούνιος 2015
• CVE-2016-0984 – Ιούνιος 2015
• CVE-2016-4117 – Μάιος 2016
• CVE-2017-8759 – Σεπτέμβριος 2017
• CVE-2017-11292 – Οκτ 2017

Το τελικό ωφέλιμο φορτίο που παραδόθηκε στις επιθέσεις από το BlackOasis ήταν σχεδόν πάντα από την οικογένεια FinSpy.

Σύνθετη αλυσίδα επίθεσης

Το BlackOasis APT χρησιμοποιεί μια εξελιγμένη αλυσίδα επίθεσης πολλαπλών σταδίων. Στην καμπάνια που εκμεταλλεύεται την ευπάθεια CVE-2017-11292 - μια ευπάθεια καταστροφής μνήμης που υπάρχει στην κλάση «com.adobe.tvsdk.mediacore.BufferControlParameters», η αρχική βάση εδραιώθηκε μέσω της διανομής ενός κατεστραμμένου εγγράφου του Office που έφερε ενσωμάτωση Αντικείμενο ActiveX που αξιοποιεί την εκμετάλλευση του Flash. Μετά την επιτυχή εκτέλεση, ο shellcode πρώτου σταδίου έρχεται σε επαφή με μια σκληροπυρηνική διεύθυνση στο 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' από την οποία παραδίδει και εκτελεί έναν κώδικα φλοιού δεύτερου σταδίου. Σε αυτό το βήμα της επίθεσης, ο εκτελούμενος κώδικας φλοιού λειτουργεί ως σταγονόμετρο για το πραγματικό ωφέλιμο φορτίο κακόβουλου λογισμικού, αλλά αυτή δεν είναι η μόνη εργασία που πρέπει να εκτελέσει. Επίσης, κατεβάζει το έγγραφο δόλωμα που θα εμφανίζεται στον χρήστη.

Το τελικό ωφέλιμο φορτίο FinSpy παραδίδεται ως αρχείο με το όνομα « mo.exe. Όταν εκτελείται, δημιουργεί αρχεία σε πέντε συγκεκριμένες τοποθεσίες:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Μεταξύ των παραδοθέντων αρχείων, το "AdapterTroubleshooter.exe" είναι ένα νόμιμο δυαδικό αρχείο που, ωστόσο, χρησιμοποιείται ως μέρος μιας τεχνικής παραβίασης εντολής αναζήτησης DLL. Το αρχείο 'd3d9.dll, από την άλλη πλευρά, είναι κατεστραμμένο και, αφού φορτωθεί από το νόμιμο δυαδικό αρχείο, είναι υπεύθυνο για την εισαγωγή του ωφέλιμου φορτίου FinSpy στη διαδικασία Winlogon.