BlackOasis APT

BlackOasis APT Opis

BlackOasis je ime dano grupi hakera za naprednu trajnu prijetnju (APT) koja isporučuje visoko ciljane napade na određene žrtve iz bliskoistočne regije. Grupa koristi događaje iz suvremenog ciklusa vijesti za izradu e-poruka za krađu identiteta i lažnih dokumenata koji se koriste za skrivanje prijeteće aktivnosti njihovog kompleta alata. Među metama BlackOasis APT-a su predstavnici UN-a, regionalni dopisnici vijesti, regionalni subjekti, međunarodni aktivisti i think tankovi. Geološko širenje otkrivenih žrtava obuhvaća zemlje Rusiju, Nigeriju, Irak, Libiju, Jordan, Saudijsku Arabiju, Iran, Bahrein, Nizozemsku, Angolu, UK i Afganistan.

Hakeri su specijalizirani za iskorištavanje ranjivosti nultog dana, uglavnom utječući na Adobe Flash. Do sada su istraživači infoseca promatrali kampanje BlakcOasisa koje su iskoristile pet različitih ranjivosti nultog dana:

  • CVE-2015-5119 – lipanj 2015
  • CVE-2016-0984 – lipanj 2015
  • CVE-2016-4117 – svibanj 2016
  • CVE-2017-8759 – rujan 2017
  • CVE-2017-11292 – listopad 2017

Konačni teret koji je BlackOasis isporučio u napadima gotovo je uvijek bio iz obitelji FinSpy.

Složeni lanac napada

BlackOasis APT koristi sofisticirani višestupanjski lanac napada. U kampanji koja iskorištava ranjivost CVE-2017-11292 – ranjivost oštećenja memorije koja postoji u klasi 'com.adobe.tvsdk.mediacore.BufferControlParameters ', početno uporište uspostavljeno je distribucijom oštećenog Office dokumenta koji je sadržavao ugrađeni ActiveX objekt koji koristi Flash exploit. Nakon uspješnog izvršenja, shellcode prve faze kontaktira tvrdokodiranu adresu na 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' s koje isporučuje i izvršava shellcode druge faze. Tijekom ovog koraka napada, izvršeni kod ljuske djeluje kao ispuštanje stvarnog sadržaja zlonamjernog softvera, ali to nije jedini zadatak koji mora izvršiti. Također preuzima dokument za mamce koji će biti prikazan korisniku.

Konačni FinSpy teret se isporučuje kao datoteka pod nazivom ' mo.exe. ' Kada se izvrši, stvara datoteke na pet određenih lokacija:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Među isporučenim datotekama, 'AdapterTroubleshooter.exe' je legitimna binarna datoteka koja se ipak iskorištava kao dio tehnike otmice naloga pretraživanja DLL-a. Datoteka 'd3d9.dll' je, s druge strane, oštećena i, nakon što ju je učitala legitimna binarna datoteka, odgovorna je za ubacivanje korisnog opterećenja FinSpy u proces Winlogon.