BlackOasis APT

BlackOasis APT Apraksts

BlackOasis ir nosaukums Advanced Persistent Threat (APT) hakeru grupai, kas nodrošina ļoti mērķtiecīgus uzbrukumus konkrētiem upuriem no Tuvo Austrumu reģiona. Grupa izmanto notikumus no mūsdienu ziņu cikla, lai izveidotu pikšķerēšanas e-pastus un mānekļus, ko izmanto, lai slēptu viņu rīku komplekta draudīgo darbību. BlackOasis APT mērķu vidū ir ANO pārstāvji, reģionālie ziņu korespondenti, reģionālās struktūras, starptautiskie aktīvisti un ideju grupas. Atklāto upuru ģeoloģiskā izplatība aptver Krieviju, Nigēriju, Irāku, Lībiju, Jordāniju, Saūda Arābiju, Irānu, Bahreinu, Nīderlandi, Angolu, Apvienoto Karalisti un Afganistānu.

Hakeri specializējas nulles dienas ievainojamību izmantošanā, galvenokārt ietekmējot Adobe Flash. Līdz šim infosec pētnieki ir novērojuši BlakcOasis kampaņas, kurās tiek izmantotas piecas dažādas nulles dienas ievainojamības:

  • CVE-2015-5119 – 2015. gada jūnijs
  • CVE-2016-0984 – 2015. gada jūnijs
  • CVE-2016-4117 — 2016. gada maijs
  • CVE-2017-8759 — 2017. gada septembris
  • CVE-2017-11292 — 2017. gada oktobris

Pēdējā BlackOasis uzbrukumos piegādātā krava gandrīz vienmēr ir bijusi no FinSpy ģimenes.

Sarežģīta uzbrukuma ķēde

BlackOasis APT izmanto izsmalcinātu daudzpakāpju uzbrukumu ķēdi. Kampaņā, kurā tika izmantota ievainojamība CVE-2017-11292 — atmiņas bojājuma ievainojamība, kas pastāv klasē “com.adobe.tvsdk.mediacore.BufferControlParameters”, sākotnējais pamats tika noteikts, izplatot bojātu Office dokumentu, kurā bija iegults. ActiveX objekts, kas izmanto Flash izmantošanu. Pēc veiksmīgas izpildes pirmās pakāpes čaulas kods sazinās ar cietā koda adresi “hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf”, no kuras tas piegādā un izpilda otrās pakāpes čaulas kodu. Šajā uzbrukuma posmā izpildītais čaulas kods darbojas kā faktiskās ļaunprātīgas programmatūras slodzes novadītājs, taču tas nav vienīgais uzdevums, kas tam jāveic. Tas arī lejupielādē mānekļa dokumentu, kas tiks parādīts lietotājam.

FinSpy galīgā krava tiek piegādāta kā fails ar nosaukumu ' mo.exe. Kad tas tiek izpildīts, tas izveido failus piecās noteiktās vietās:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

No piegādātajiem failiem AdapterTroubleshooter.exe ir likumīgs binārs, kas tomēr tiek izmantots kā daļa no DLL meklēšanas pasūtījuma nolaupīšanas tehnikas. No otras puses, fails "d3d9.dll" ir bojāts, un pēc tam, kad to ir ielādējis likumīgs binārs, tas ir atbildīgs par FinSpy derīgās slodzes ievadīšanu Winlogon procesā.