BlackOasis APT

BlackOasis APT Description

BlackOasis គឺជាឈ្មោះដែលផ្តល់ទៅឱ្យក្រុមហេគឃ័រ Advanced Persistent Threat (APT) ដែលផ្តល់ការវាយប្រហារដែលមានគោលដៅខ្ពស់ប្រឆាំងនឹងជនរងគ្រោះជាក់លាក់ពីតំបន់មជ្ឈិមបូព៌ា។ ក្រុមនេះប្រើព្រឹត្តិការណ៍ពីវដ្តព័ត៌មានសហសម័យដើម្បីបង្កើតអ៊ីមែលបន្លំលំពែង និងឯកសារក្លែងក្លាយដែលប្រើដើម្បីលាក់សកម្មភាពគំរាមកំហែងនៃកញ្ចប់ឧបករណ៍របស់ពួកគេ។ ក្នុងចំណោមគោលដៅរបស់ BlackOasis APT មានតំណាងអង្គការសហប្រជាជាតិ អ្នករាយការណ៍ព័ត៌មានក្នុងតំបន់ អង្គភាពក្នុងតំបន់ សកម្មជនអន្តរជាតិ និងក្រុមអ្នកគិត។ ការរីករាលដាលភូគព្ភសាស្ត្រនៃជនរងគ្រោះដែលបានរកឃើញលាតសន្ធឹងលើប្រទេសរុស្ស៊ី នីហ្សេរីយ៉ា អ៊ីរ៉ាក់ លីប៊ី ហ្ស៊កដានី អារ៉ាប៊ីសាអូឌីត អ៊ីរ៉ង់ បារ៉ែន ហូឡង់ អង់ហ្គោឡា ចក្រភពអង់គ្លេស និងអាហ្វហ្គានីស្ថាន។

ពួក Hacker មានជំនាញក្នុងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះសូន្យថ្ងៃ ដែលភាគច្រើនប៉ះពាល់ដល់ Adobe Flash ។ រហូតមកដល់ពេលនេះ អ្នកស្រាវជ្រាវ infosec បានសង្កេតឃើញយុទ្ធនាការ BlakcOasis ទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះសូន្យប្រាំផ្សេងគ្នា៖

  • CVE-2015-5119 - ខែមិថុនា 2015
  • CVE-2016-0984 - ខែមិថុនា 2015
  • CVE-2016-4117 - ឧសភា 2016
  • CVE-2017-8759 - កញ្ញា 2017
  • CVE-2017-11292 - តុលា 2017

បន្ទុកចុងក្រោយដែលត្រូវបានចែកចាយនៅក្នុងការវាយប្រហារដោយ BlackOasis ស្ទើរតែតែងតែមកពីគ្រួសារ FinSpy ។

ខ្សែសង្វាក់វាយប្រហារស្មុគស្មាញ

BlackOasis APT ប្រើខ្សែសង្វាក់ការវាយប្រហារច្រើនដំណាក់កាលដ៏ទំនើប។ នៅក្នុងយុទ្ធនាការទាញយកភាពងាយរងគ្រោះ CVE-2017-11292 ដែលជាភាពងាយរងគ្រោះនៃអំពើពុករលួយនៃការចងចាំដែលមាននៅក្នុងថ្នាក់ ' com.adobe.tvsdk.mediacore.BufferControlParameters ' ការឈរជើងដំបូងត្រូវបានបង្កើតឡើងតាមរយៈការចែកចាយឯកសារ Office ដែលខូចដែលដំណើរការបង្កប់។ វត្ថុ ActiveX ប្រើការកេងប្រវ័ញ្ច Flash ។ នៅពេលដំណើរការដោយជោគជ័យ លេខកូដសែលដំណាក់កាលទីមួយទាក់ទងអាសយដ្ឋាន hardcoded នៅ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' ដែលវាផ្តល់ និងប្រតិបត្តិលេខកូដសែលដំណាក់កាលទីពីរ។ ក្នុងអំឡុងពេលនៃជំហាននៃការវាយប្រហារនេះ កូដសែលដែលបានប្រតិបត្តិដើរតួជាអ្នកទម្លាក់សម្រាប់កម្មវិធីផ្ទុកមេរោគពិតប្រាកដ ប៉ុន្តែនោះមិនមែនជាកិច្ចការតែមួយគត់ដែលវាត្រូវតែអនុវត្តនោះទេ។ វាក៏ទាញយកឯកសារ decoy ដែលនឹងត្រូវបានបង្ហាញដល់អ្នកប្រើប្រាស់ផងដែរ។

ការ ផ្ទុក FinSpy ចុងក្រោយត្រូវបានបញ្ជូនជាឯកសារមួយដែលមានឈ្មោះថា ' mo.exe ។ ' នៅពេលប្រតិបត្តិ វាបង្កើតឯកសារនៅក្នុងទីតាំងជាក់លាក់ចំនួនប្រាំ៖

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

ក្នុងចំណោមឯកសារដែលបានចែកចាយនោះ 'AdapterTroubleshooter.exe' គឺជាប្រព័ន្ធគោលពីរស្របច្បាប់ដែលទោះជាយ៉ាងណាក៏ត្រូវបានទាញយកប្រយោជន៍ជាផ្នែកនៃបច្ចេកទេសលួចតាមលំដាប់នៃការស្វែងរក DLL ។ ម្យ៉ាងវិញទៀត ឯកសារ 'd3d9.dll' ត្រូវបានខូច ហើយបន្ទាប់ពីត្រូវបានផ្ទុកដោយប្រព័ន្ធគោលពីរស្របច្បាប់ ទទួលខុសត្រូវក្នុងការបញ្ចូល FinSpy payload ទៅក្នុងដំណើរការ Winlogon។