BlackOasis APT

BlackOasis APT ਵੇਰਵਾ

ਬਲੈਕਓਏਸਿਸ ਹੈਕਰਾਂ ਦੇ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜੋ ਮੱਧ ਪੂਰਬੀ ਖੇਤਰ ਦੇ ਖਾਸ ਪੀੜਤਾਂ ਦੇ ਵਿਰੁੱਧ ਉੱਚ-ਨਿਸ਼ਾਨਾ ਵਾਲੇ ਹਮਲੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਸਮਕਾਲੀ ਖਬਰਾਂ ਦੇ ਚੱਕਰ ਤੋਂ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਅਤੇ ਉਹਨਾਂ ਦੀ ਟੂਲਕਿੱਟ ਦੀ ਧਮਕੀ ਭਰੀ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਤਿਆਰ ਕਰਨ ਲਈ ਵਰਤਦਾ ਹੈ। BlackOasis APT ਦੇ ਟੀਚਿਆਂ ਵਿੱਚ ਸੰਯੁਕਤ ਰਾਸ਼ਟਰ ਦੇ ਨੁਮਾਇੰਦੇ, ਖੇਤਰੀ ਖ਼ਬਰਾਂ ਦੇ ਪੱਤਰਕਾਰ, ਖੇਤਰੀ ਸੰਸਥਾਵਾਂ, ਅੰਤਰਰਾਸ਼ਟਰੀ ਕਾਰਕੁਨ, ਅਤੇ ਥਿੰਕ ਟੈਂਕ ਹਨ। ਖੋਜੇ ਗਏ ਪੀੜਤਾਂ ਦਾ ਭੂ-ਵਿਗਿਆਨਕ ਫੈਲਾਅ ਰੂਸ, ਨਾਈਜੀਰੀਆ, ਇਰਾਕ, ਲੀਬੀਆ, ਜਾਰਡਨ, ਸਾਊਦੀ ਅਰਬ, ਈਰਾਨ, ਬਹਿਰੀਨ, ਨੀਦਰਲੈਂਡ, ਅੰਗੋਲਾ, ਯੂਕੇ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਤੱਕ ਫੈਲਿਆ ਹੋਇਆ ਹੈ।

ਹੈਕਰ ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦੇ ਹਨ, ਮੁੱਖ ਤੌਰ 'ਤੇ Adobe Flash ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ। ਹੁਣ ਤੱਕ, infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੰਜ ਵੱਖ-ਵੱਖ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹੋਏ ਬਲੈਕਕੋਆਸਿਸ ਮੁਹਿੰਮਾਂ ਨੂੰ ਦੇਖਿਆ ਹੈ:

  • CVE-2015-5119 – ਜੂਨ 2015
  • CVE-2016-0984 – ਜੂਨ 2015
  • CVE-2016-4117 – ਮਈ 2016
  • CVE-2017-8759 – ਸਤੰਬਰ 2017
  • CVE-2017-11292 – ਅਕਤੂਬਰ 2017

ਬਲੈਕਓਏਸਿਸ ਦੁਆਰਾ ਹਮਲਿਆਂ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਅੰਤਮ ਪੇਲੋਡ ਲਗਭਗ ਹਮੇਸ਼ਾਂ ਫਿਨਸਪੀ ਪਰਿਵਾਰ ਤੋਂ ਹੁੰਦਾ ਹੈ।

ਕੰਪਲੈਕਸ ਅਟੈਕ ਚੇਨ

BlackOasis APT ਇੱਕ ਵਧੀਆ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। CVE-2017-11292 ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੀ ਮੁਹਿੰਮ ਵਿੱਚ - ਇੱਕ ਮੈਮੋਰੀ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਕਮਜ਼ੋਰੀ ਜੋ ' com.adobe.tvsdk.mediacore.BufferControlParameters ' ਕਲਾਸ ਵਿੱਚ ਮੌਜੂਦ ਹੈ, ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਇੱਕ ਭ੍ਰਿਸ਼ਟ ਦਫਤਰ ਦਸਤਾਵੇਜ਼ ਦੀ ਵੰਡ ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ ਇੱਕ ਏਮਬੇਡ ਸੀ ActiveX ਆਬਜੈਕਟ ਫਲੈਸ਼ ਸ਼ੋਸ਼ਣ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਸਫਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਪਹਿਲੇ ਪੜਾਅ ਦਾ ਸ਼ੈੱਲਕੋਡ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' 'ਤੇ ਹਾਰਡਕੋਡ ਕੀਤੇ ਪਤੇ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ ਜਿੱਥੋਂ ਇਹ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਹਮਲੇ ਦੇ ਇਸ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, ਚਲਾਇਆ ਗਿਆ ਸ਼ੈੱਲ ਕੋਡ ਅਸਲ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਪਰ ਇਹ ਸਿਰਫ ਅਜਿਹਾ ਕੰਮ ਨਹੀਂ ਹੈ ਜਿਸ ਨੂੰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਵੀ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਵੇਗਾ।

ਅੰਤਿਮ FinSpy ਪੇਲੋਡ 'mo.exe ' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਪੰਜ ਖਾਸ ਸਥਾਨਾਂ ਵਿੱਚ ਫਾਈਲਾਂ ਬਣਾਉਂਦਾ ਹੈ:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

ਡਿਲੀਵਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਵਿੱਚੋਂ, 'AdapterTroubleshooter.exe' ਇੱਕ ਜਾਇਜ਼ ਬਾਈਨਰੀ ਹੈ ਜਿਸਦਾ ਇੱਕ DLL ਖੋਜ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ ਤਕਨੀਕ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਦੂਜੇ ਪਾਸੇ 'd3d9.dll' ਫਾਈਲ ਦੂਸ਼ਿਤ ਹੈ ਅਤੇ, ਕਾਨੂੰਨੀ ਬਾਈਨਰੀ ਦੁਆਰਾ ਲੋਡ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, Winlogon ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ FinSpy ਪੇਲੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।