BlackOasis APT

BlackOasis APT Description

BlackOasis نامی است که به گروهی از هکرها (APT) داده شده است که حملات بسیار هدفمندی را علیه قربانیان خاص از منطقه خاورمیانه انجام می دهند. این گروه از رویدادهای چرخه اخبار معاصر برای ساخت ایمیل‌های فیشینگ نیزه‌ای استفاده می‌کند و اسنادی را که برای مخفی کردن فعالیت‌های تهدیدآمیز جعبه ابزارشان استفاده می‌شود، پنهان می‌کند. از جمله اهداف BlackOasis APT می‌توان به نمایندگان سازمان ملل، خبرنگاران اخبار منطقه‌ای، نهادهای منطقه‌ای، فعالان بین‌المللی و اتاق‌های فکر اشاره کرد. گسترش زمین شناسی قربانیان شناسایی شده شامل کشورهای روسیه، نیجریه، عراق، لیبی، اردن، عربستان سعودی، ایران، بحرین، هلند، آنگولا، بریتانیا و افغانستان است.

هکرها در بهره برداری از آسیب پذیری های روز صفر تخصص دارند که عمدتاً Adobe Flash را تحت تأثیر قرار می دهند. تاکنون، محققان infosec کمپین‌های BlakcOasis را با بهره‌گیری از پنج آسیب‌پذیری مختلف روز صفر مشاهده کرده‌اند:

  • CVE-2015-5119 – ژوئن 2015
  • CVE-2016-0984 – ژوئن 2015
  • CVE-2016-4117 – می 2016
  • CVE-2017-8759 – سپتامبر 2017
  • CVE-2017-11292 – اکتبر 2017

محموله نهایی تحویل شده در حملات BlackOasis تقریباً همیشه از خانواده FinSpy بوده است.

زنجیره حمله پیچیده

BlackOasis APT از یک زنجیره حمله پیچیده چند مرحله ای استفاده می کند. در کمپین سوء استفاده از آسیب‌پذیری CVE-2017-11292 - یک آسیب‌پذیری آسیب‌پذیر حافظه که در کلاس «com.adobe.tvsdk.mediacore.BufferControlParameters » وجود دارد، جایگاه اولیه از طریق توزیع یک سند آفیس خراب ایجاد شد که دارای یک جاسازی بود. شی ActiveX از اکسپلویت Flash استفاده می کند. پس از اجرای موفقیت‌آمیز، پوسته‌کد مرحله‌ی اول با یک آدرس سخت‌کد شده در «hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf» تماس می‌گیرد که از آن کد پوسته مرحله دوم را تحویل و اجرا می‌کند. در طول این مرحله از حمله، کد شل اجرا شده به عنوان یک قطره چکان برای بار واقعی بدافزار عمل می کند، اما این تنها وظیفه ای نیست که باید انجام دهد. همچنین سند فریب که به کاربر نمایش داده می شود را دانلود می کند.

بار نهایی FinSpy به عنوان فایلی با نام " mo.exe" تحویل داده می شود. هنگامی که اجرا می شود، فایل ها را در پنج مکان خاص ایجاد می کند:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

در میان فایل‌های ارائه‌شده، «AdapterTroubleshooter.exe» یک باینری قانونی است که با این وجود به عنوان بخشی از تکنیک ربودن سفارش جستجوی DLL مورد سوء استفاده قرار می‌گیرد. از طرف دیگر، فایل 'd3d9.dll' خراب است و پس از بارگیری توسط باینری قانونی، مسئول تزریق بار FinSpy به فرآیند Winlogon است.