BlackOasis APT

BlackOasis APT

BlackOasis ialah nama yang diberikan kepada kumpulan penggodam Advanced Persistent Threat (APT) yang menyampaikan serangan bersasaran tinggi terhadap mangsa tertentu dari rantau Timur Tengah. Kumpulan itu menggunakan peristiwa daripada kitaran berita kontemporari untuk mencipta e-mel pancingan lembing dan dokumen penipuan yang digunakan untuk menyembunyikan aktiviti mengancam kit alat mereka. Antara sasaran BlackOasis APT ialah wakil PBB, wartawan berita serantau, entiti serantau, aktivis antarabangsa, dan badan pemikir. Penyebaran geologi mangsa yang dikesan merangkumi negara Rusia, Nigeria, Iraq, Libya, Jordan, Arab Saudi, Iran, Bahrain, Belanda, Angola, UK dan Afghanistan.

Penggodam pakar dalam eksploitasi kelemahan sifar hari, terutamanya menjejaskan Adobe Flash. Setakat ini, penyelidik infosec telah memerhatikan kempen BlakcOasis mengambil kesempatan daripada lima kelemahan sifar hari yang berbeza:

  • CVE-2015-5119 – Jun 2015
  • CVE-2016-0984 – Jun 2015
  • CVE-2016-4117 – Mei 2016
  • CVE-2017-8759 – Sept 2017
  • CVE-2017-11292 – Okt 2017

Muatan terakhir yang dihantar dalam serangan oleh BlackOasis hampir selalu daripada keluarga FinSpy.

Rantaian Serangan Kompleks

BlackOasis APT menggunakan rantai serangan berbilang peringkat yang canggih. Dalam kempen yang mengeksploitasi kerentanan CVE-2017-11292 - kerentanan rasuah memori yang wujud dalam kelas ' com.adobe.tvsdk.mediacore.BufferControlParameters ', pijakan awal telah ditubuhkan melalui pengedaran dokumen Office rosak yang membawa benam Objek ActiveX memanfaatkan eksploitasi Flash. Setelah pelaksanaan berjaya, kod shell peringkat pertama menghubungi alamat kod keras di 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' dari mana ia menghantar dan melaksanakan kod shell peringkat kedua. Semasa langkah serangan ini, kod shell yang dilaksanakan bertindak sebagai penitis untuk muatan perisian hasad sebenar, tetapi itu bukan satu-satunya tugas yang mesti dilakukannya. Ia juga memuat turun dokumen umpan yang akan dipaparkan kepada pengguna.

Muatan akhir FinSpy dihantar sebagai fail bernama ' mo.exe. ' Apabila dilaksanakan, ia mencipta fail di lima lokasi tertentu:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Antara fail yang dihantar, 'AdapterTroubleshooter.exe' ialah binari yang sah yang masih dieksploitasi sebagai sebahagian daripada teknik rampasan perintah carian DLL. Fail 'd3d9.dll,' sebaliknya, rosak dan, selepas dimuatkan oleh binari yang sah, bertanggungjawab untuk menyuntik muatan FinSpy ke dalam proses Winlogon.

Loading...