BlackOasis APT
BlackOasis मध्य पूर्वी क्षेत्रका विशिष्ट पीडितहरू विरुद्ध उच्च-लक्षित आक्रमणहरू प्रदान गर्ने ह्याकरहरूको उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूहलाई दिइएको नाम हो। समूहले समकालीन समाचार चक्रका घटनाहरू प्रयोग गरी भाला-फिसिङ इमेलहरू र आफ्नो टुलकिटको धम्कीपूर्ण गतिविधि लुकाउन प्रयोग हुने कागजातहरू बनाउँछ। BlackOasis APT को लक्ष्यहरू मध्ये संयुक्त राष्ट्रका प्रतिनिधिहरू, क्षेत्रीय समाचार संवाददाताहरू, क्षेत्रीय संस्थाहरू, अन्तर्राष्ट्रिय कार्यकर्ताहरू, र विचार ट्याङ्कहरू छन्। पत्ता लागेका पीडितहरूको भौगोलिक फैलावट रूस, नाइजेरिया, इराक, लिबिया, जोर्डन, साउदी अरेबिया, इरान, बहराइन, नेदरल्याण्ड्स, अंगोला, बेलायत र अफगानिस्तानमा फैलिएको छ।
ह्याकरहरू शून्य-दिनको कमजोरीहरूको शोषणमा विशेषज्ञ छन्, मुख्य रूपमा Adobe Flash लाई असर गर्छ। अहिलेसम्म, इन्फोसेक अनुसन्धानकर्ताहरूले पाँच फरक शून्य-दिन जोखिमहरूको फाइदा उठाउँदै ब्लाककोएसिस अभियानहरू अवलोकन गरेका छन्:
- CVE-2015-5119 - जुन 2015
- CVE-2016-0984 - जुन 2015
- CVE-2016-4117 - मे 2016
- CVE-2017-8759 - सेप्टेम्बर 2017
- CVE-2017-11292 - अक्टोबर 2017
BlackOasis द्वारा आक्रमणहरूमा डेलिभर गरिएको अन्तिम पेलोड लगभग सधैं FinSpy परिवारबाट भएको छ।
जटिल आक्रमण चेन
BlackOasis APT ले एक परिष्कृत बहु-चरण आक्रमण श्रृंखलालाई रोजगार दिन्छ। CVE-2017-11292 जोखिमको शोषण गर्ने अभियानमा - मेमोरी भ्रष्टाचार जोखिम जुन ' com.adobe.tvsdk.mediacore.BufferControlParameters ' वर्गमा अवस्थित छ, प्रारम्भिक फुटहोल्ड भ्रष्ट कार्यालय कागजातको वितरण मार्फत स्थापित भएको थियो जसले इम्बेड गरेको थियो। ActiveX वस्तुले फ्ल्यास शोषणको फाइदा उठाउँदै। सफल कार्यान्वयनमा, पहिलो चरणको शेलकोडले हार्डकोड गरिएको ठेगानालाई 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' मा सम्पर्क गर्छ जसबाट यसले दोस्रो चरणको शेलकोड डेलिभर गर्छ र कार्यान्वयन गर्छ। आक्रमणको यस चरणको बखत, निष्पादित शेल कोडले वास्तविक मालवेयर पेलोडको लागि ड्रपरको रूपमा कार्य गर्दछ, तर यो मात्र कार्य मात्र होइन। यसले डिकोय कागजात डाउनलोड गर्दछ जुन प्रयोगकर्तालाई प्रदर्शन गरिनेछ।
अन्तिम FinSpy पेलोड ' mo.exe नामक फाइलको रूपमा डेलिभर गरिएको छ। ' जब कार्यान्वयन हुन्छ, यसले पाँच विशिष्ट स्थानहरूमा फाइलहरू सिर्जना गर्दछ:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
डेलिभर गरिएका फाइलहरू मध्ये, 'AdapterTroubleshooter.exe' एक वैध बाइनरी हो जुन यद्यपि DLL खोज अर्डर अपहरण प्रविधिको भागको रूपमा शोषण गरिएको छ। अर्कोतर्फ, फाइल 'd3d9.dll' दूषित छ र, कानूनी बाइनरीद्वारा लोड गरिसकेपछि, Winlogon प्रक्रियामा FinSpy पेलोड इन्जेक्सन गर्न जिम्मेवार छ।
