BlackOasis APT

BlackOasis APT

BlackOasis הוא השם שניתן לקבוצת האקרים מתמשכת מתקדמת (APT) המספקת התקפות ממוקדות במיוחד נגד קורבנות ספציפיים מאזור המזרח התיכון. הקבוצה משתמשת באירועים ממחזור החדשות העכשוויות כדי ליצור דוא"ל דיוג חנית ומסמכי הטעיה המשמשים להסתרת הפעילות המאיימת של ערכת הכלים שלהם. בין היעדים של BlackOasis APT הם נציגי האו"ם, כתבי חדשות אזוריים, ישויות אזוריות, פעילים בינלאומיים וצוותי חשיבה. ההתפשטות הגיאולוגית של הקורבנות שזוהו משתרעת על פני המדינות רוסיה, ניגריה, עיראק, לוב, ירדן, ערב הסעודית, איראן, בחריין, הולנד, אנגולה, בריטניה ואפגניסטן.

ההאקרים מתמחים בניצול פגיעויות של יום אפס, המשפיעות בעיקר על Adobe Flash. עד כה, חוקרי infosec צפו בקמפיינים של BlakcOasis מנצלים חמש נקודות תורפה שונות של יום אפס:

  • CVE-2015-5119 - יוני 2015
  • CVE-2016-0984 - יוני 2015
  • CVE-2016-4117 - מאי 2016
  • CVE-2017-8759 - ספטמבר 2017
  • CVE-2017-11292 - אוקטובר 2017

המטען הסופי שנמסר בהתקפות על ידי BlackOasis היה כמעט תמיד ממשפחת FinSpy.

שרשרת התקפה מורכבת

BlackOasis APT מעסיקה שרשרת תקיפה רב-שלבית מתוחכמת. בקמפיין המנצל את הפגיעות CVE-2017-11292 - פגיעות של שחיתות זיכרון הקיימת ב-' com.adobe.tvsdk.mediacore.BufferControlParameters ', דריסת הרגל הראשונית הוקמה באמצעות הפצת מסמך Office פגום שנשא הטמעה אובייקט ActiveX הממנף את ניצול ה-Flash. לאחר ביצוע מוצלח, קוד המעטפת של השלב הראשון יוצר קשר עם כתובת מקודדת בכתובת 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' שממנו הוא מספק ומבצע קוד מעטפת שלב שני. במהלך שלב זה של ההתקפה, קוד המעטפת המבוצע פועל כמטפטף עבור מטען התוכנה הזדונית בפועל, אך זו לא המשימה היחידה שעליו לבצע. זה גם מוריד את מסמך ההטעיה שיוצג למשתמש.

המטען הסופי של FinSpy מועבר כקובץ בשם ' mo.exe. ' כאשר הוא מבצע, הוא יוצר קבצים בחמישה מיקומים ספציפיים:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

בין הקבצים שנמסרו, 'AdapterTroubleshooter.exe' הוא קובץ בינארי לגיטימי שמנוצל בכל זאת כחלק מטכניקת חטיפת סדר חיפוש DLL. הקובץ 'd3d9.dll', לעומת זאת, פגום ולאחר שנטען על ידי הקובץ הבינארי הלגיטימי, הוא אחראי להחדרת מטען FinSpy לתהליך Winlogon.

מגמות

טוען...