BlackOasis APT

BlackOasis APT

BlackOasis on nimi, mis on antud häkkerite rühmale Advanced Persistent Threat (APT), mis korraldab sihipäraseid rünnakuid konkreetsete Lähis-Ida piirkonna ohvrite vastu. Rühm kasutab sündmusi kaasaegsest uudistetsüklist, et koostada andmepüügi e-kirju ja peibutusdokumente, mida kasutatakse nende tööriistakomplekti ähvardava tegevuse varjamiseks. BlackOasis APT sihtmärkide hulgas on ÜRO esindajad, piirkondlikud uudistekorrespondendid, piirkondlikud üksused, rahvusvahelised aktivistid ja mõttekojad. Avastatud ohvrite geoloogiline levik hõlmab riike Venemaa, Nigeeria, Iraak, Liibüa, Jordaania, Saudi Araabia, Iraan, Bahrein, Holland, Angola, Ühendkuningriik ja Afganistan.

Häkkerid on spetsialiseerunud nullpäeva turvaaukude ärakasutamisele, mis mõjutavad peamiselt Adobe Flashi. Siiani on infoseci teadlased täheldanud BlakcOasise kampaaniaid, mis kasutavad ära viit erinevat nullpäeva haavatavust:

  • CVE-2015-5119 – juuni 2015
  • CVE-2016-0984 – juuni 2015
  • CVE-2016-4117 – mai 2016
  • CVE-2017-8759 – september 2017
  • CVE-2017-11292 – oktoober 2017

BlackOasise rünnakute käigus saadetud lõplik koormus on peaaegu alati pärinenud FinSpy perekonnast.

Keeruline ründeahel

BlackOasis APT kasutab keerukat mitmeastmelist rünnakuahelat. Haavatavust CVE-2017-11292 kasutavas kampaanias – klassis „ com.adobe.tvsdk.mediacore.BufferControlParameters ” esinev mälukahjustuse haavatavus – määrati esialgne tugikoht rikutud Office’i dokumendi levitamise kaudu, mis sisaldas manustamist. ActiveX-objekt, mis kasutab Flashi ärakasutamist. Eduka täitmise korral võtab esimese astme shellkood ühendust kõvakoodiga aadressiga aadressil 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', kust see tarnib ja käivitab teise etapi shellkoodi. Rünnaku selle etapi ajal toimib käivitatud shellkood tegeliku pahavara kasuliku koormuse jaoks, kuid see pole ainus ülesanne, mida see täitma peab. Samuti laadib see alla peibutusdokumendi, mis kuvatakse kasutajale.

Lõplik FinSpy kasulik koormus tarnitakse failina nimega ' mo.exe. Käivitamisel loob see failid viies kindlas asukohas:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Tarnitud failide hulgas on AdapterTroubleshooter.exe seaduslik binaarfail, mida sellest hoolimata kasutatakse DLL-i otsingukäsu kaaperdamise tehnika osana. Fail "d3d9.dll" on seevastu rikutud ja pärast selle laadimist legitiimse binaarfaili poolt vastutab FinSpy kasuliku koormuse sisestamise eest Winlogoni protsessi.

Loading...