블랙오아시스 아파트

BlackOasis는 중동 지역의 특정 피해자에 대해 고도로 표적화된 공격을 전달하는 APT(Advanced Persistent Threat) 해커 그룹에 부여된 이름입니다. 이 그룹은 현대 뉴스 주기의 이벤트를 사용하여 툴킷의 위협적인 활동을 숨기는 데 사용되는 스피어 피싱 이메일과 문서를 유인합니다. BlackOasis APT의 표적 중에는 유엔 대표, 지역 뉴스 특파원, 지역 단체, 국제 활동가 및 싱크 탱크가 있습니다. 감지된 희생자의 지질학적 확산은 러시아, 나이지리아, 이라크, 리비아, 요르단, 사우디아라비아, 이란, 바레인, 네덜란드, 앙골라, 영국 및 아프가니스탄에 걸쳐 있습니다.

해커는 주로 Adobe Flash에 영향을 미치는 제로 데이 취약점 악용을 전문으로 합니다. 지금까지 infosec 연구원은 BlakcOasis 캠페인이 5가지 다른 제로데이 취약점을 이용하는 것을 관찰했습니다.

• CVE-2015-5119 – 2015년 6월
• CVE-2016-0984 – 2015년 6월
• CVE-2016-4117 – 2016년 5월
• CVE-2017-8759 – 2017년 9월
• CVE-2017-11292 – 2017년 10월

BlackOasis의 공격에서 전달된 최종 페이로드는 거의 항상 FinSpy 제품군의 것입니다.

복잡한 공격 사슬

BlackOasis APT는 정교한 다단계 공격 체인을 사용합니다. ' com.adobe.tvsdk.mediacore.BufferControlParameters ' 클래스에 존재하는 메모리 손상 취약점인 CVE-2017-11292 취약점을 악용하는 캠페인에서 임베드가 포함된 손상된 Office 문서의 배포를 통해 초기 발판을 마련했습니다. Flash 익스플로잇을 활용하는 ActiveX 개체. 성공적으로 실행되면 1단계 쉘코드는 하드코딩된 주소인 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf'에 접속하여 2단계 쉘코드를 전달하고 실행합니다. 이 공격 단계에서 실행된 셸 코드는 실제 맬웨어 페이로드에 대한 드롭퍼 역할을 하지만 수행해야 하는 유일한 작업은 아닙니다. 또한 사용자에게 표시될 미끼 문서를 다운로드합니다.

최종 FinSpy 페이로드는 ' mo.exe '라는 파일로 전달됩니다. ' 실행되면 5개의 특정 위치에 파일이 생성됩니다.

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

전달된 파일 중 'AdapterTroubleshooter.exe'는 DLL 검색 순서 하이재킹 기법의 일부로 악용되는 합법적인 바이너리입니다. 반면에 'd3d9.dll' 파일은 손상되었으며 합법적인 바이너리에 의해 로드된 후 Winlogon 프로세스에 FinSpy 페이로드를 주입하는 역할을 합니다.