BlackOasis APT

BlackOasis APT Descrizione

BlackOasis è il nome dato a un gruppo di hacker APT (Advanced Persistent Threat) che lancia attacchi altamente mirati contro specifiche vittime della regione del Medio Oriente. Il gruppo utilizza eventi del ciclo di notizie contemporaneo per creare e-mail di spear-phishing e documenti esca usati per nascondere l'attività minacciosa del loro toolkit. Tra gli obiettivi di BlackOasis APT ci sono rappresentanti delle Nazioni Unite, corrispondenti di notizie regionali, entità regionali, attivisti internazionali e think tank. La diffusione geologica delle vittime individuate abbraccia i paesi Russia, Nigeria, Iraq, Libia, Giordania, Arabia Saudita, Iran, Bahrein, Paesi Bassi, Angola, Regno Unito e Afghanistan.

Gli hacker sono specializzati nello sfruttamento delle vulnerabilità zero-day, che colpiscono principalmente Adobe Flash. Finora, i ricercatori di infosec hanno osservato le campagne di BlakcOasis sfruttando cinque diverse vulnerabilità zero-day:

  • CVE-2015-5119 - giugno 2015
  • CVE-2016-0984 - giugno 2015
  • CVE-2016-4117 - maggio 2016
  • CVE-2017-8759 - settembre 2017
  • CVE-2017-11292 - ottobre 2017

Il carico utile finale consegnato negli attacchi da BlackOasis è stato quasi sempre dalla famiglia FinSpy.

Catena di attacchi complessa

BlackOasis APT impiega una sofisticata catena di attacchi a più stadi. Nella campagna che sfrutta la vulnerabilità CVE-2017-11292, una vulnerabilità di corruzione della memoria presente nella classe " com.adobe.tvsdk.mediacore.BufferControlParameters ", il punto d'appoggio iniziale è stato stabilito attraverso la distribuzione di un documento di Office danneggiato che conteneva un incorporamento Oggetto ActiveX che sfrutta l'exploit di Flash. Dopo l'esecuzione con successo, il codice shell del primo stadio contatta un indirizzo codificato a 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' dal quale fornisce ed esegue uno shellcode del secondo stadio. Durante questa fase dell'attacco, il codice della shell eseguito funge da contagocce per il payload effettivo del malware, ma non è l'unica attività che deve eseguire. Scarica anche il documento esca che verrà mostrato all'utente.

Il payload finale di FinSpy viene fornito come file denominato ' mo.exe. 'Quando viene eseguito, crea file in cinque posizioni specifiche:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Tra i file forniti, "AdapterTroubleshooter.exe" è un file binario legittimo che viene comunque sfruttato come parte di una tecnica di dirottamento dell'ordine di ricerca DLL. Il file "d3d9.dll", d'altra parte, è danneggiato e, dopo essere stato caricato dal binario legittimo, è responsabile dell'iniezione del payload FinSpy nel processo di Winlogon.