BlackOasis APT

A BlackOasis az Advanced Persistent Threat (APT) hackercsoport elnevezése, amely célzott támadásokat hajt végre meghatározott áldozatok ellen a közel-keleti régióból. A csoport a kortárs hírciklus eseményeit használja fel lándzsás adathalász e-mailek és csalidokumentumok készítésére, amelyek segítségével elrejtik eszköztáruk fenyegető tevékenységét. A BlackOasis APT célpontjai között szerepelnek az ENSZ képviselői, regionális híradósok, regionális szervezetek, nemzetközi aktivisták és agytrösztök. A felderített áldozatok geológiai elterjedése Oroszországra, Nigériára, Irakra, Líbiára, Jordániára, Szaúd-Arábiára, Iránra, Bahreinre, Hollandiára, Angolára, az Egyesült Királyságra és Afganisztánra terjed ki.

A hackerek a nulladik napi sebezhetőségek kihasználására specializálódtak, elsősorban az Adobe Flash-t érintik. Az infosec kutatói eddig öt különböző nulladik napi sebezhetőséget kihasználó BlakcOasis kampányokat figyeltek meg:

• CVE-2015-5119 – 2015. június
• CVE-2016-0984 – 2015. június
• CVE-2016-4117 – 2016. május
• CVE-2017-8759 – 2017. szept
• CVE-2017-11292 – 2017. okt

A BlackOasis támadásai során a végső hasznos teher szinte mindig a FinSpy családtól származott.

Komplex támadási lánc

A BlackOasis APT kifinomult, többlépcsős támadási láncot alkalmaz. A CVE-2017-11292 biztonsági rést kihasználó kampányban a „ com.adobe.tvsdk.mediacore.BufferControlParameters ” osztályban található memóriasérülést okozó biztonsági rést kihasználó kampányban a kezdeti támaszt egy sérült Office-dokumentum terjesztése jelentette, amely beágyazást tartalmazott. ActiveX objektum, amely kihasználja a Flash exploitot. Sikeres végrehajtás után az első szakasz shellkódja felveszi a kapcsolatot egy keménykódolt címmel a „hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf” címen, ahonnan egy második szintű shellkódot szállít és hajt végre. A támadás ezen lépése során a végrehajtott héjkód a kártevő tényleges rakományának dropperjeként működik, de nem ez az egyetlen feladat, amelyet végre kell hajtania. Ezenkívül letölti a csali dokumentumot, amely megjelenik a felhasználó számára.

A végső FinSpy rakomány egy „ mo.exe” nevű fájlként érkezik. Végrehajtáskor öt meghatározott helyen hoz létre fájlokat:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

A kézbesített fájlok közül az „AdapterTroubleshooter.exe” egy legitim bináris fájl, amelyet ennek ellenére kihasználnak a DLL-keresési sorrend eltérítési technikájának részeként. A „d3d9.dll” fájl ezzel szemben sérült, és miután a legális bináris fájl betöltötte, felelős azért, hogy a FinSpy hasznos adatot bejuttassa a Winlogon folyamatba.