BlackOasis APT
BlackOasis on nimi Advanced Persistent Threat (APT) -hakkeriryhmälle, joka suorittaa tarkasti kohdennettuja hyökkäyksiä tiettyjä uhreja vastaan Lähi-idän alueelta. Ryhmä käyttää ajankohtaisten uutiskierrosten tapahtumia luodakseen keihäs-phishing-sähköposteja ja houkutusasiakirjoja, joilla piilotetaan työkalusarjansa uhkaava toiminta. BlackOasis APT:n kohteina ovat YK:n edustajat, alueelliset uutiskirjeenvaihtajat, alueelliset tahot, kansainväliset aktivistit ja ajatushautomot. Havaittujen uhrien geologinen levinneisyys ulottuu maihin Venäjä, Nigeria, Irak, Libya, Jordania, Saudi-Arabia, Iran, Bahrain, Alankomaat, Angola, Iso-Britannia ja Afganistan.
Hakkerit ovat erikoistuneet nollapäivän haavoittuvuuksien hyödyntämiseen, jotka vaikuttavat pääasiassa Adobe Flashiin. Tähän mennessä infosec-tutkijat ovat havainneet BlakcOasis-kampanjoita hyödyntäen viittä erilaista nollapäivän haavoittuvuutta:
- CVE-2015-5119 – kesäkuu 2015
- CVE-2016-0984 – kesäkuu 2015
- CVE-2016-4117 – toukokuu 2016
- CVE-2017-8759 – syyskuu 2017
- CVE-2017-11292 – lokakuu 2017
BlackOasisin hyökkäyksissä toimitettu viimeinen hyötykuorma on lähes aina ollut FinSpy-perheeltä.
Monimutkainen hyökkäysketju
BlackOasis APT käyttää kehittynyttä monivaiheista hyökkäysketjua. Kampanjassa hyödynnetään CVE-2017-11292 haavoittuvuus - muistin vioittumisongelman, joka vallitsee 'com.adobe.tvsdk.mediacore.BufferControlParameters' Clas, alkuperäinen jalansija perustettiin jakamalla vioittuneen Office-asiakirja tehnyt upotuskoodin ActiveX-objekti hyödyntää Flash-hyötyä. Onnistuneen suorituksen jälkeen ensimmäisen vaiheen kuorikoodi ottaa yhteyttä kovakoodatuun osoitteeseen osoitteessa "hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf", josta se toimittaa ja suorittaa toisen vaiheen kuorikoodin. Hyökkäyksen tämän vaiheen aikana suoritettu shell-koodi toimii todellisen haittaohjelman hyötykuorman tiputtajana, mutta se ei ole ainoa tehtävä, joka sen on suoritettava. Se lataa myös houkutusasiakirjan, joka näytetään käyttäjälle.
Lopullinen FinSpy- hyötykuorma toimitetaan tiedostona nimeltä ' mo.exe. ' Kun se suoritetaan, se luo tiedostoja viiteen tiettyyn paikkaan:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
Toimitettujen tiedostojen joukossa "AdapterTroubleshooter.exe" on laillinen binaari, jota kuitenkin hyödynnetään osana DLL-hakujärjestyksen kaappaustekniikkaa. Toisaalta tiedosto 'd3d9.dll' on vioittunut, ja sen jälkeen, kun se on ladattu laillisen binaarin toimesta, se on vastuussa FinSpy-hyötykuorman lisäämisestä Winlogon-prosessiin.
