BlackOasis APT

BlackOasis APT

BlackOasis er navnet gitt til en Advanced Persistent Threat (APT)-gruppe av hackere som leverer svært målrettede angrep mot spesifikke ofre fra Midtøsten-regionen. Gruppen bruker hendelser fra den moderne nyhetssyklusen til å lage spyd-phishing-e-poster og lokkedokumenter som brukes til å skjule den truende aktiviteten til verktøysettet deres. Blant målene til BlackOasis APT er FN-representanter, regionale nyhetskorrespondenter, regionale enheter, internasjonale aktivister og tenketanker. Den geologiske spredningen av oppdagede ofre spenner over landene Russland, Nigeria, Irak, Libya, Jordan, Saudi-Arabia, Iran, Bahrain, Nederland, Angola, Storbritannia og Afghanistan.

Hackerne spesialiserer seg på utnyttelse av nulldagssårbarheter, som hovedsakelig påvirker Adobe Flash. Så langt har infosec-forskere observert BlakcOasis-kampanjer som drar fordel av fem forskjellige zero-day-sårbarheter:

  • CVE-2015-5119 – juni 2015
  • CVE-2016-0984 – juni 2015
  • CVE-2016-4117 – mai 2016
  • CVE-2017-8759 – september 2017
  • CVE-2017-11292 – oktober 2017

Den endelige nyttelasten levert i angrepene fra BlackOasis har nesten alltid vært fra FinSpy-familien.

Kompleks angrepskjede

BlackOasis APT bruker en sofistikert flertrinns angrepskjede. I kampanjen som utnyttet CVE-2017-11292-sårbarheten - et minnekorrupsjonssårbarhet som eksisterer i ' com.adobe.tvsdk.mediacore.BufferControlParameters '-klassen, ble det første fotfestet etablert gjennom distribusjon av et ødelagt Office-dokument som hadde en innebygd ActiveX-objekt som utnytter Flash-utnyttelsen. Ved vellykket kjøring kontakter første-trinns shellcode en hardkodet adresse på 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', hvorfra den leverer og kjører en andre-trinns shellcode. Under dette trinnet av angrepet fungerer den utførte skallkoden som en dropper for den faktiske skadevarelasten, men det er ikke den eneste oppgaven den må utføre. Den laster også ned lokkedokumentet som vil bli vist til brukeren.

Den endelige FinSpy- nyttelasten leveres som en fil med navnet ' mo.exe. ' Når den kjøres, oppretter den filer på fem spesifikke steder:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Blant de leverte filene er 'AdapterTroubleshooter.exe' en legitim binærfil som likevel utnyttes som en del av en DLL-søkeordrekapringsteknikk. Filen 'd3d9.dll' på den annen side er ødelagt og er, etter å ha blitt lastet inn av den legitime binære filen, ansvarlig for å injisere FinSpy-nyttelasten i Winlogon-prosessen.

Trending

Loading...