רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Advanced Persistent Threat (APT) BlackOasis APT

BlackOasis APT

עד GoldSparrow ב-Advanced Persistent Threat (APT)
לתרגם ל:
עברית

BlackOasis הוא השם שניתן לקבוצת האקרים מתמשכת מתקדמת (APT) המספקת התקפות ממוקדות במיוחד נגד קורבנות ספציפיים מאזור המזרח התיכון. הקבוצה משתמשת באירועים ממחזור החדשות העכשוויות כדי ליצור דוא"ל דיוג חנית ומסמכי הטעיה המשמשים להסתרת הפעילות המאיימת של ערכת הכלים שלהם. בין היעדים של BlackOasis APT הם נציגי האו"ם, כתבי חדשות אזוריים, ישויות אזוריות, פעילים בינלאומיים וצוותי חשיבה. ההתפשטות הגיאולוגית של הקורבנות שזוהו משתרעת על פני המדינות רוסיה, ניגריה, עיראק, לוב, ירדן, ערב הסעודית, איראן, בחריין, הולנד, אנגולה, בריטניה ואפגניסטן.

ההאקרים מתמחים בניצול פגיעויות של יום אפס, המשפיעות בעיקר על Adobe Flash. עד כה, חוקרי infosec צפו בקמפיינים של BlakcOasis מנצלים חמש נקודות תורפה שונות של יום אפס:

  • CVE-2015-5119 - יוני 2015
  • CVE-2016-0984 - יוני 2015
  • CVE-2016-4117 - מאי 2016
  • CVE-2017-8759 - ספטמבר 2017
  • CVE-2017-11292 - אוקטובר 2017

המטען הסופי שנמסר בהתקפות על ידי BlackOasis היה כמעט תמיד ממשפחת FinSpy.

שרשרת התקפה מורכבת

BlackOasis APT מעסיקה שרשרת תקיפה רב-שלבית מתוחכמת. בקמפיין המנצל את הפגיעות CVE-2017-11292 - פגיעות של שחיתות זיכרון הקיימת ב-' com.adobe.tvsdk.mediacore.BufferControlParameters ', דריסת הרגל הראשונית הוקמה באמצעות הפצת מסמך Office פגום שנשא הטמעה אובייקט ActiveX הממנף את ניצול ה-Flash. לאחר ביצוע מוצלח, קוד המעטפת של השלב הראשון יוצר קשר עם כתובת מקודדת בכתובת 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' שממנו הוא מספק ומבצע קוד מעטפת שלב שני. במהלך שלב זה של ההתקפה, קוד המעטפת המבוצע פועל כמטפטף עבור מטען התוכנה הזדונית בפועל, אך זו לא המשימה היחידה שעליו לבצע. זה גם מוריד את מסמך ההטעיה שיוצג למשתמש.

המטען הסופי של FinSpy מועבר כקובץ בשם ' mo.exe. ' כאשר הוא מבצע, הוא יוצר קבצים בחמישה מיקומים ספציפיים:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

בין הקבצים שנמסרו, 'AdapterTroubleshooter.exe' הוא קובץ בינארי לגיטימי שמנוצל בכל זאת כחלק מטכניקת חטיפת סדר חיפוש DLL. הקובץ 'd3d9.dll', לעומת זאת, פגום ולאחר שנטען על ידי הקובץ הבינארי הלגיטימי, הוא אחראי להחדרת מטען FinSpy לתהליך Winlogon.

מגמות

הונאת דוא"ל 'YouPorn'

Spam
לאחר בדיקה יסודית של הודעות האימייל של 'YouPorn', מומחי אבטחת סייבר אישרו את אופיים המרמה. הודעות דוא"ל אלו הן חלק מגרסאות ספאם שונות, כולן דומות לטקטיקות סקסטורציה. החוט המשותף בין הודעות האימייל המטעות הללו הוא קביעה מפוברקת לפיה הנמען היה מעורב בחומר בעל אופי מיני מפורש שפורסם לאחרונה באתר YouPorn. האימיילים מציגים אז אפשרויות תשלום מרובות להסרת התוכן האמור ולמניעת העלאות עתידיות....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
14,963
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...