BlackOasis APT

BlackOasis APT

BlackOasis is de naam die is gegeven aan een Advanced Persistent Threat (APT) -groep van hackers die zeer gerichte aanvallen uitvoeren op specifieke slachtoffers uit het Midden-Oosten. De groep gebruikt gebeurtenissen uit de hedendaagse nieuwscyclus om spear-phishing-e-mails en lokdocumenten te maken die worden gebruikt om de bedreigende activiteit van hun toolkit te verbergen. Onder de doelen van BlackOasis APT zijn VN-vertegenwoordigers, regionale nieuwscorrespondenten, regionale entiteiten, internationale activisten en denktanks. De geologische verspreiding van opgespoorde slachtoffers strekt zich uit over de landen Rusland, Nigeria, Irak, Libië, Jordanië, Saudi-Arabië, Iran, Bahrein, Nederland, Angola, het VK en Afghanistan.

De hackers zijn gespecialiseerd in het misbruiken van zero-day-kwetsbaarheden, die voornamelijk Adobe Flash treffen. Tot nu toe hebben infosec-onderzoekers waargenomen dat BlakcOasis-campagnes profiteren van vijf verschillende zero-day-kwetsbaarheden:

  • CVE-2015-5119 - juni 2015
  • CVE-2016-0984 - juni 2015
  • CVE-2016-4117 - mei 2016
  • CVE-2017-8759 - sept.2017
  • CVE-2017-11292 - oktober 2017

De uiteindelijke lading die bij de aanvallen door BlackOasis werd geleverd, was bijna altijd afkomstig van de FinSpy-familie.

Complexe aanvalsketen

BlackOasis APT maakt gebruik van een geavanceerde meertraps aanvalsketen. In de campagne die misbruik maakte van de kwetsbaarheid CVE-2017-11292 - een kwetsbaarheid voor geheugenbeschadiging die voorkomt in de klasse ' com.adobe.tvsdk.mediacore.BufferControlParameters ', werd de eerste voet aan de grond gezet door de distributie van een beschadigd Office-document met een ActiveX-object dat gebruikmaakt van de Flash-exploit. Na succesvolle uitvoering, maakt de shellcode van de eerste fase contact met een hardgecodeerd adres op 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' van waaruit het een shellcode van de tweede fase levert en uitvoert. Tijdens deze stap van de aanval fungeert de uitgevoerde shellcode als een dropper voor de daadwerkelijke malware-payload, maar dat is niet de enige taak die deze moet uitvoeren. Het downloadt ook het lokdocument dat aan de gebruiker wordt getoond.

De uiteindelijke FinSpy- payload wordt geleverd als een bestand met de naam ' mo.exe. 'Als het wordt uitgevoerd, worden er bestanden aangemaakt op vijf specifieke locaties:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Onder de geleverde bestanden is 'AdapterTroubleshooter.exe' een legitiem binair bestand dat niettemin wordt uitgebuit als onderdeel van een techniek voor het kapen van een DLL-zoekopdracht. Het bestand 'd3d9.dll' is daarentegen beschadigd en, nadat het is geladen door het legitieme binaire bestand, is verantwoordelijk voor het injecteren van de FinSpy-payload in het Winlogon-proces.

Trending

Bezig met laden...