BlackOasis APT

BlackOasis हैकर्स के एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह को दिया गया नाम है जो मध्य पूर्वी क्षेत्र के विशिष्ट पीड़ितों के खिलाफ अत्यधिक लक्षित हमले करता है। समूह अपने टूलकिट की खतरनाक गतिविधि को छिपाने के लिए उपयोग किए जाने वाले स्पीयर-फ़िशिंग ईमेल और नकली दस्तावेज़ों को तैयार करने के लिए समकालीन समाचार चक्र से घटनाओं का उपयोग करता है। BlackOasis APT के लक्ष्यों में संयुक्त राष्ट्र के प्रतिनिधि, क्षेत्रीय समाचार संवाददाता, क्षेत्रीय संस्थाएँ, अंतर्राष्ट्रीय कार्यकर्ता और थिंक टैंक हैं। ज्ञात पीड़ितों का भूवैज्ञानिक प्रसार रूस, नाइजीरिया, इराक, लीबिया, जॉर्डन, सऊदी अरब, ईरान, बहरीन, नीदरलैंड, अंगोला, यूके और अफगानिस्तान देशों में फैला है।

हैकर्स शून्य-दिन की कमजोरियों के शोषण में विशेषज्ञ हैं, मुख्य रूप से एडोब फ्लैश को प्रभावित करते हैं। अब तक, इन्फोसेक के शोधकर्ताओं ने पांच अलग-अलग शून्य-दिन की कमजोरियों का लाभ उठाते हुए BlakcOasis अभियानों को देखा है:

• सीवीई-2015-5119 - जून 2015
• सीवीई-2016-0984 - जून 2015
• सीवीई-2016-4117 - मई 2016
• सीवीई-2017-8759 - सितंबर 2017
• सीवीई-2017-11292 - अक्टूबर 2017

ब्लैकऑसिस द्वारा हमलों में दिया गया अंतिम पेलोड लगभग हमेशा फिनस्पाई परिवार से रहा है।

जटिल हमला श्रृंखला

BlackOasis APT एक परिष्कृत मल्टी-स्टेज अटैक चेन को नियोजित करता है। CVE-2017-11292 भेद्यता का शोषण करने वाले अभियान में - एक स्मृति भ्रष्टाचार भेद्यता जो ' com.adobe.tvsdk.mediacore.BufferControlParameters ' वर्ग में मौजूद है, प्रारंभिक आधार एक दूषित कार्यालय दस्तावेज़ के वितरण के माध्यम से स्थापित किया गया था जिसमें एक एम्बेड किया गया था ActiveX ऑब्जेक्ट फ़्लैश शोषण का लाभ उठाता है। सफल निष्पादन पर, प्रथम-चरण शेलकोड 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' पर एक हार्डकोडेड पते से संपर्क करता है, जिससे यह दूसरे चरण के शेलकोड को वितरित और निष्पादित करता है। हमले के इस चरण के दौरान, निष्पादित शेल कोड वास्तविक मैलवेयर पेलोड के लिए एक ड्रॉपर के रूप में कार्य करता है, लेकिन यह एकमात्र ऐसा कार्य नहीं है जिसे इसे करना चाहिए। यह नकली दस्तावेज़ को भी डाउनलोड करता है जो उपयोगकर्ता को प्रदर्शित किया जाएगा।

अंतिम FinSpy पेलोड को 'mo.exe ' नाम की फाइल के रूप में डिलीवर किया जाता है। ' जब निष्पादित किया जाता है, तो यह पांच विशिष्ट स्थानों में फाइलें बनाता है:

• सी:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• सी:\ProgramData\ManagerApp\install.cab
• सी:\ProgramData\ManagerApp\msvcr90.dll
• सी:\ProgramData\ManagerApp\d3d9.dll

डिलीवर की गई फाइलों में, 'AdapterTroubleshooter.exe' एक वैध बाइनरी है जिसे फिर भी DLL सर्च ऑर्डर हाईजैकिंग तकनीक के हिस्से के रूप में उपयोग किया जाता है। दूसरी ओर, फ़ाइल 'd3d9.dll' दूषित है और, वैध बाइनरी द्वारा लोड होने के बाद, Winlogon प्रक्रिया में FinSpy पेलोड को इंजेक्ट करने के लिए जिम्मेदार है।