Vairāku ierīču licences (apjoma atlaides)
Threat Database Advanced Persistent Threat (APT) BlackOasis APT

BlackOasis APT

Līdz GoldSparrow. gadam Advanced Persistent Threat (APT). gadā
Tulkot uz:
Latviešu

BlackOasis ir nosaukums Advanced Persistent Threat (APT) hakeru grupai, kas nodrošina ļoti mērķtiecīgus uzbrukumus konkrētiem upuriem no Tuvo Austrumu reģiona. Grupa izmanto notikumus no mūsdienu ziņu cikla, lai izveidotu pikšķerēšanas e-pastus un mānekļus, ko izmanto, lai slēptu viņu rīku komplekta draudīgo darbību. BlackOasis APT mērķu vidū ir ANO pārstāvji, reģionālie ziņu korespondenti, reģionālās struktūras, starptautiskie aktīvisti un ideju grupas. Atklāto upuru ģeoloģiskā izplatība aptver Krieviju, Nigēriju, Irāku, Lībiju, Jordāniju, Saūda Arābiju, Irānu, Bahreinu, Nīderlandi, Angolu, Apvienoto Karalisti un Afganistānu.

Hakeri specializējas nulles dienas ievainojamību izmantošanā, galvenokārt ietekmējot Adobe Flash. Līdz šim infosec pētnieki ir novērojuši BlakcOasis kampaņas, kurās tiek izmantotas piecas dažādas nulles dienas ievainojamības:

  • CVE-2015-5119 – 2015. gada jūnijs
  • CVE-2016-0984 – 2015. gada jūnijs
  • CVE-2016-4117 — 2016. gada maijs
  • CVE-2017-8759 — 2017. gada septembris
  • CVE-2017-11292 — 2017. gada oktobris

Pēdējā BlackOasis uzbrukumos piegādātā krava gandrīz vienmēr ir bijusi no FinSpy ģimenes.

Sarežģīta uzbrukuma ķēde

BlackOasis APT izmanto izsmalcinātu daudzpakāpju uzbrukumu ķēdi. Kampaņā, kurā tika izmantota ievainojamība CVE-2017-11292 — atmiņas bojājuma ievainojamība, kas pastāv klasē “com.adobe.tvsdk.mediacore.BufferControlParameters”, sākotnējais pamats tika noteikts, izplatot bojātu Office dokumentu, kurā bija iegults. ActiveX objekts, kas izmanto Flash izmantošanu. Pēc veiksmīgas izpildes pirmās pakāpes čaulas kods sazinās ar cietā koda adresi “hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf”, no kuras tas piegādā un izpilda otrās pakāpes čaulas kodu. Šajā uzbrukuma posmā izpildītais čaulas kods darbojas kā faktiskās ļaunprātīgas programmatūras slodzes novadītājs, taču tas nav vienīgais uzdevums, kas tam jāveic. Tas arī lejupielādē mānekļa dokumentu, kas tiks parādīts lietotājam.

FinSpy galīgā krava tiek piegādāta kā fails ar nosaukumu ' mo.exe. Kad tas tiek izpildīts, tas izveido failus piecās noteiktās vietās:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

No piegādātajiem failiem AdapterTroubleshooter.exe ir likumīgs binārs, kas tomēr tiek izmantots kā daļa no DLL meklēšanas pasūtījuma nolaupīšanas tehnikas. No otras puses, fails "d3d9.dll" ir bojāts, un pēc tam, kad to ir ielādējis likumīgs binārs, tas ir atbildīgs par FinSpy derīgās slodzes ievadīšanu Winlogon procesā.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
14,963
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...