BlackOasis APT

BlackOasis yra pavadinimas, suteiktas Advanced Persistent Threat (APT) įsilaužėlių grupei, kuri vykdo labai tikslines atakas prieš konkrečias aukas iš Artimųjų Rytų regiono. Grupė naudoja įvykius iš šiuolaikinių naujienų ciklo, kad sukurtų sukčiavimo el. laiškus ir apgaulės dokumentus, naudojamus paslėpti grėsmingą jų įrankių rinkinio veiklą. Tarp BlackOasis APT taikinių yra JT atstovai, regioninių naujienų korespondentai, regioniniai subjektai, tarptautiniai aktyvistai ir ekspertų grupės. Geologinis aptiktų aukų paplitimas apima Rusiją, Nigeriją, Iraką, Libiją, Jordaniją, Saudo Arabiją, Iraną, Bahreiną, Nyderlandus, Angolą, JK ir Afganistaną.

Įsilaužėliai specializuojasi išnaudodami nulinės dienos pažeidžiamumą, daugiausia paveikiantį „Adobe Flash“. Iki šiol „Infosec“ tyrėjai stebėjo „BlakcOasis“ kampanijas, naudojančias penkis skirtingus nulinės dienos pažeidžiamumus:

• CVE-2015-5119 – 2015 m. birželio mėn
• CVE-2016-0984 – 2015 m. birželio mėn
• CVE-2016-4117 – 2016 m. gegužės mėn
• CVE-2017-8759 – 2017 m. rugsėjo mėn
• CVE-2017-11292 – 2017 m. spalio mėn

Galutinė BlackOasis atakų apkrova beveik visada buvo iš FinSpy šeimos.

Sudėtinga atakos grandinė

BlackOasis APT naudoja sudėtingą kelių etapų atakų grandinę. Kampanijoje, naudojančioje CVE-2017-11292 pažeidžiamumą – atminties sugadinimo pažeidžiamumą, esantį „ com.adobe.tvsdk.mediacore.BufferControlParameters“ klasėje, pradinė padėtis buvo nustatyta platinant sugadintą „Office“ dokumentą, kuriame buvo įterpimas. „ActiveX“ objektas, panaudojantis „Flash“ išnaudojimą. Sėkmingai įvykdžius, pirmos pakopos apvalkalo kodas susisiekia su kietuoju kodu adresu „hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf“, iš kurio pristatomas ir vykdomas antrojo etapo apvalkalo kodas. Per šį atakos veiksmą vykdomas apvalkalo kodas veikia kaip tikrosios kenkėjiškos programos naudingosios apkrovos numetėjas, tačiau tai nėra vienintelė užduotis, kurią jis turi atlikti. Taip pat atsisiunčiamas apgaulės dokumentas, kuris bus rodomas vartotojui.

Galutinis „ FinSpy“ naudingasis krovinys pristatomas kaip failas pavadinimu „ mo.exe“. Kai jis vykdomas, jis sukuria failus penkiose konkrečiose vietose:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Tarp pristatytų failų „AdapterTroubleshooter.exe“ yra teisėtas dvejetainis failas, kuris vis dėlto naudojamas kaip DLL paieškos užsakymo užgrobimo technikos dalis. Kita vertus, failas „d3d9.dll“ yra sugadintas ir, kai jį įkėlė teisėtas dvejetainis failas, yra atsakingas už „FinSpy“ naudingosios apkrovos įkėlimą į „Winlogon“ procesą.