BlackOasis APT
ਬਲੈਕਓਏਸਿਸ ਹੈਕਰਾਂ ਦੇ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜੋ ਮੱਧ ਪੂਰਬੀ ਖੇਤਰ ਦੇ ਖਾਸ ਪੀੜਤਾਂ ਦੇ ਵਿਰੁੱਧ ਉੱਚ-ਨਿਸ਼ਾਨਾ ਵਾਲੇ ਹਮਲੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਸਮਕਾਲੀ ਖਬਰਾਂ ਦੇ ਚੱਕਰ ਤੋਂ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਅਤੇ ਉਹਨਾਂ ਦੀ ਟੂਲਕਿੱਟ ਦੀ ਧਮਕੀ ਭਰੀ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਤਿਆਰ ਕਰਨ ਲਈ ਵਰਤਦਾ ਹੈ। BlackOasis APT ਦੇ ਟੀਚਿਆਂ ਵਿੱਚ ਸੰਯੁਕਤ ਰਾਸ਼ਟਰ ਦੇ ਨੁਮਾਇੰਦੇ, ਖੇਤਰੀ ਖ਼ਬਰਾਂ ਦੇ ਪੱਤਰਕਾਰ, ਖੇਤਰੀ ਸੰਸਥਾਵਾਂ, ਅੰਤਰਰਾਸ਼ਟਰੀ ਕਾਰਕੁਨ, ਅਤੇ ਥਿੰਕ ਟੈਂਕ ਹਨ। ਖੋਜੇ ਗਏ ਪੀੜਤਾਂ ਦਾ ਭੂ-ਵਿਗਿਆਨਕ ਫੈਲਾਅ ਰੂਸ, ਨਾਈਜੀਰੀਆ, ਇਰਾਕ, ਲੀਬੀਆ, ਜਾਰਡਨ, ਸਾਊਦੀ ਅਰਬ, ਈਰਾਨ, ਬਹਿਰੀਨ, ਨੀਦਰਲੈਂਡ, ਅੰਗੋਲਾ, ਯੂਕੇ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਤੱਕ ਫੈਲਿਆ ਹੋਇਆ ਹੈ।
ਹੈਕਰ ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦੇ ਹਨ, ਮੁੱਖ ਤੌਰ 'ਤੇ Adobe Flash ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ। ਹੁਣ ਤੱਕ, infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੰਜ ਵੱਖ-ਵੱਖ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹੋਏ ਬਲੈਕਕੋਆਸਿਸ ਮੁਹਿੰਮਾਂ ਨੂੰ ਦੇਖਿਆ ਹੈ:
- CVE-2015-5119 – ਜੂਨ 2015
- CVE-2016-0984 – ਜੂਨ 2015
- CVE-2016-4117 – ਮਈ 2016
- CVE-2017-8759 – ਸਤੰਬਰ 2017
- CVE-2017-11292 – ਅਕਤੂਬਰ 2017
ਬਲੈਕਓਏਸਿਸ ਦੁਆਰਾ ਹਮਲਿਆਂ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਅੰਤਮ ਪੇਲੋਡ ਲਗਭਗ ਹਮੇਸ਼ਾਂ ਫਿਨਸਪੀ ਪਰਿਵਾਰ ਤੋਂ ਹੁੰਦਾ ਹੈ।
ਕੰਪਲੈਕਸ ਅਟੈਕ ਚੇਨ
BlackOasis APT ਇੱਕ ਵਧੀਆ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। CVE-2017-11292 ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੀ ਮੁਹਿੰਮ ਵਿੱਚ - ਇੱਕ ਮੈਮੋਰੀ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਕਮਜ਼ੋਰੀ ਜੋ ' com.adobe.tvsdk.mediacore.BufferControlParameters ' ਕਲਾਸ ਵਿੱਚ ਮੌਜੂਦ ਹੈ, ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਇੱਕ ਭ੍ਰਿਸ਼ਟ ਦਫਤਰ ਦਸਤਾਵੇਜ਼ ਦੀ ਵੰਡ ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ ਇੱਕ ਏਮਬੇਡ ਸੀ ActiveX ਆਬਜੈਕਟ ਫਲੈਸ਼ ਸ਼ੋਸ਼ਣ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਸਫਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਪਹਿਲੇ ਪੜਾਅ ਦਾ ਸ਼ੈੱਲਕੋਡ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' 'ਤੇ ਹਾਰਡਕੋਡ ਕੀਤੇ ਪਤੇ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ ਜਿੱਥੋਂ ਇਹ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਹਮਲੇ ਦੇ ਇਸ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, ਚਲਾਇਆ ਗਿਆ ਸ਼ੈੱਲ ਕੋਡ ਅਸਲ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਪਰ ਇਹ ਸਿਰਫ ਅਜਿਹਾ ਕੰਮ ਨਹੀਂ ਹੈ ਜਿਸ ਨੂੰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਵੀ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਵੇਗਾ।
ਅੰਤਿਮ FinSpy ਪੇਲੋਡ 'mo.exe ' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਪੰਜ ਖਾਸ ਸਥਾਨਾਂ ਵਿੱਚ ਫਾਈਲਾਂ ਬਣਾਉਂਦਾ ਹੈ:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
ਡਿਲੀਵਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਵਿੱਚੋਂ, 'AdapterTroubleshooter.exe' ਇੱਕ ਜਾਇਜ਼ ਬਾਈਨਰੀ ਹੈ ਜਿਸਦਾ ਇੱਕ DLL ਖੋਜ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ ਤਕਨੀਕ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਦੂਜੇ ਪਾਸੇ 'd3d9.dll' ਫਾਈਲ ਦੂਸ਼ਿਤ ਹੈ ਅਤੇ, ਕਾਨੂੰਨੀ ਬਾਈਨਰੀ ਦੁਆਰਾ ਲੋਡ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, Winlogon ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ FinSpy ਪੇਲੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
