مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Advanced Persistent Threat (APT) BlackOasis APT

BlackOasis APT

تا GoldSparrow در Advanced Persistent Threat (APT)
ترجمه به:
فارسی

BlackOasis نامی است که به گروهی از هکرها (APT) داده شده است که حملات بسیار هدفمندی را علیه قربانیان خاص از منطقه خاورمیانه انجام می دهند. این گروه از رویدادهای چرخه اخبار معاصر برای ساخت ایمیل‌های فیشینگ نیزه‌ای استفاده می‌کند و اسنادی را که برای مخفی کردن فعالیت‌های تهدیدآمیز جعبه ابزارشان استفاده می‌شود، پنهان می‌کند. از جمله اهداف BlackOasis APT می‌توان به نمایندگان سازمان ملل، خبرنگاران اخبار منطقه‌ای، نهادهای منطقه‌ای، فعالان بین‌المللی و اتاق‌های فکر اشاره کرد. گسترش زمین شناسی قربانیان شناسایی شده شامل کشورهای روسیه، نیجریه، عراق، لیبی، اردن، عربستان سعودی، ایران، بحرین، هلند، آنگولا، بریتانیا و افغانستان است.

هکرها در بهره برداری از آسیب پذیری های روز صفر تخصص دارند که عمدتاً Adobe Flash را تحت تأثیر قرار می دهند. تاکنون، محققان infosec کمپین‌های BlakcOasis را با بهره‌گیری از پنج آسیب‌پذیری مختلف روز صفر مشاهده کرده‌اند:

  • CVE-2015-5119 – ژوئن 2015
  • CVE-2016-0984 – ژوئن 2015
  • CVE-2016-4117 – می 2016
  • CVE-2017-8759 – سپتامبر 2017
  • CVE-2017-11292 – اکتبر 2017

محموله نهایی تحویل شده در حملات BlackOasis تقریباً همیشه از خانواده FinSpy بوده است.

زنجیره حمله پیچیده

BlackOasis APT از یک زنجیره حمله پیچیده چند مرحله ای استفاده می کند. در کمپین سوء استفاده از آسیب‌پذیری CVE-2017-11292 - یک آسیب‌پذیری آسیب‌پذیر حافظه که در کلاس «com.adobe.tvsdk.mediacore.BufferControlParameters » وجود دارد، جایگاه اولیه از طریق توزیع یک سند آفیس خراب ایجاد شد که دارای یک جاسازی بود. شی ActiveX از اکسپلویت Flash استفاده می کند. پس از اجرای موفقیت‌آمیز، پوسته‌کد مرحله‌ی اول با یک آدرس سخت‌کد شده در «hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf» تماس می‌گیرد که از آن کد پوسته مرحله دوم را تحویل و اجرا می‌کند. در طول این مرحله از حمله، کد شل اجرا شده به عنوان یک قطره چکان برای بار واقعی بدافزار عمل می کند، اما این تنها وظیفه ای نیست که باید انجام دهد. همچنین سند فریب که به کاربر نمایش داده می شود را دانلود می کند.

بار نهایی FinSpy به عنوان فایلی با نام " mo.exe" تحویل داده می شود. هنگامی که اجرا می شود، فایل ها را در پنج مکان خاص ایجاد می کند:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

در میان فایل‌های ارائه‌شده، «AdapterTroubleshooter.exe» یک باینری قانونی است که با این وجود به عنوان بخشی از تکنیک ربودن سفارش جستجوی DLL مورد سوء استفاده قرار می‌گیرد. از طرف دیگر، فایل 'd3d9.dll' خراب است و پس از بارگیری توسط باینری قانونی، مسئول تزریق بار FinSpy به فرآیند Winlogon است.

پرطرفدار

کلاهبرداری ایمیل "YouPorn".

Spam
پس از بررسی کامل ایمیل‌های «YouPorn»، کارشناسان امنیت سایبری ماهیت تقلبی آن‌ها را تأیید کردند. این ایمیل‌ها بخشی از انواع مختلف هرزنامه هستند که همگی شبیه تاکتیک‌های جنجالی هستند. موضوع مشترک در میان این ایمیل‌های فریبنده، ادعای ساختگی است مبنی بر اینکه گیرنده در مطالب صریح جنسی که اخیراً در وب‌سایت YouPorn پست شده است، دخیل بوده است. سپس ایمیل ها گزینه های پرداخت متعددی را برای حذف محتوای...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
14,963
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...