BlackOasis APT
BlackOasis نامی است که به گروهی از هکرها (APT) داده شده است که حملات بسیار هدفمندی را علیه قربانیان خاص از منطقه خاورمیانه انجام می دهند. این گروه از رویدادهای چرخه اخبار معاصر برای ساخت ایمیلهای فیشینگ نیزهای استفاده میکند و اسنادی را که برای مخفی کردن فعالیتهای تهدیدآمیز جعبه ابزارشان استفاده میشود، پنهان میکند. از جمله اهداف BlackOasis APT میتوان به نمایندگان سازمان ملل، خبرنگاران اخبار منطقهای، نهادهای منطقهای، فعالان بینالمللی و اتاقهای فکر اشاره کرد. گسترش زمین شناسی قربانیان شناسایی شده شامل کشورهای روسیه، نیجریه، عراق، لیبی، اردن، عربستان سعودی، ایران، بحرین، هلند، آنگولا، بریتانیا و افغانستان است.
هکرها در بهره برداری از آسیب پذیری های روز صفر تخصص دارند که عمدتاً Adobe Flash را تحت تأثیر قرار می دهند. تاکنون، محققان infosec کمپینهای BlakcOasis را با بهرهگیری از پنج آسیبپذیری مختلف روز صفر مشاهده کردهاند:
- CVE-2015-5119 – ژوئن 2015
- CVE-2016-0984 – ژوئن 2015
- CVE-2016-4117 – می 2016
- CVE-2017-8759 – سپتامبر 2017
- CVE-2017-11292 – اکتبر 2017
محموله نهایی تحویل شده در حملات BlackOasis تقریباً همیشه از خانواده FinSpy بوده است.
زنجیره حمله پیچیده
BlackOasis APT از یک زنجیره حمله پیچیده چند مرحله ای استفاده می کند. در کمپین سوء استفاده از آسیبپذیری CVE-2017-11292 - یک آسیبپذیری آسیبپذیر حافظه که در کلاس «com.adobe.tvsdk.mediacore.BufferControlParameters » وجود دارد، جایگاه اولیه از طریق توزیع یک سند آفیس خراب ایجاد شد که دارای یک جاسازی بود. شی ActiveX از اکسپلویت Flash استفاده می کند. پس از اجرای موفقیتآمیز، پوستهکد مرحلهی اول با یک آدرس سختکد شده در «hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf» تماس میگیرد که از آن کد پوسته مرحله دوم را تحویل و اجرا میکند. در طول این مرحله از حمله، کد شل اجرا شده به عنوان یک قطره چکان برای بار واقعی بدافزار عمل می کند، اما این تنها وظیفه ای نیست که باید انجام دهد. همچنین سند فریب که به کاربر نمایش داده می شود را دانلود می کند.
بار نهایی FinSpy به عنوان فایلی با نام " mo.exe" تحویل داده می شود. هنگامی که اجرا می شود، فایل ها را در پنج مکان خاص ایجاد می کند:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
در میان فایلهای ارائهشده، «AdapterTroubleshooter.exe» یک باینری قانونی است که با این وجود به عنوان بخشی از تکنیک ربودن سفارش جستجوی DLL مورد سوء استفاده قرار میگیرد. از طرف دیگر، فایل 'd3d9.dll' خراب است و پس از بارگیری توسط باینری قانونی، مسئول تزریق بار FinSpy به فرآیند Winlogon است.