BlackOasis APT
BlackOasis to nazwa nadana grupie hakerów Advanced Persistent Threat (APT), która przeprowadza wysoce ukierunkowane ataki na określone ofiary z regionu Bliskiego Wschodu. Grupa wykorzystuje wydarzenia ze współczesnego cyklu wiadomości do tworzenia wiadomości e-mail typu spear-phishing i dokumentów-wabików, które służą do ukrywania groźnej aktywności ich zestawu narzędzi. Wśród celów BlackOasis APT są przedstawiciele ONZ, regionalni korespondenci prasowi, podmioty regionalne, międzynarodowi aktywiści i think tanki. Rozprzestrzenianie geologiczne wykrytych ofiar obejmuje kraje: Rosję, Nigerię, Irak, Libię, Jordanię, Arabię Saudyjską, Iran, Bahrajn, Holandię, Angolę, Wielką Brytanię i Afganistan.
Hakerzy specjalizują się w wykorzystywaniu luk zero-day, które dotyczą głównie Adobe Flash. Jak dotąd badacze infosec zaobserwowali kampanie BlakcOasis wykorzystujące pięć różnych luk zero-day:
- CVE-2015-5119 – czerwiec 2015
- CVE-2016-0984 – czerwiec 2015
- CVE-2016-4117 – maj 2016
- CVE-2017-8759 – wrzesień 2017
- CVE-2017-11292 – październik 2017
Ostateczny ładunek dostarczony podczas ataków przez BlackOasis prawie zawsze pochodził z rodziny FinSpy.
Złożony łańcuch ataku
BlackOasis APT wykorzystuje zaawansowany wieloetapowy łańcuch ataków. W kampanii wykorzystującej lukę CVE-2017-11292 — usterkę umożliwiającą uszkodzenie pamięci, która istnieje w klasach „ com.adobe.tvsdk.mediacore.BufferControlParameters " — początkowy przyczółek został ustanowiony poprzez dystrybucję uszkodzonego dokumentu pakietu Office, który zawierał osadzony Obiekt ActiveX wykorzystujący exploit Flasha. Po pomyślnym wykonaniu szelkod pierwszego etapu kontaktuje się z zakodowanym na stałe adresem pod adresem „hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf", z którego dostarcza i wykonuje szelkod drugiego etapu. Na tym etapie ataku wykonany kod powłoki działa jak dropper dla rzeczywistego ładunku złośliwego oprogramowania, ale nie jest to jedyne zadanie, które musi wykonać. Pobiera również dokument wabika, który zostanie wyświetlony użytkownikowi.
Ostateczny ładunek FinSpy jest dostarczany jako plik o nazwie mo.exe. ' Po wykonaniu tworzy pliki w pięciu określonych lokalizacjach:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
Wśród dostarczonych plików, "AdapterTroubleshooter.exe" to legalny plik binarny, który jest jednak wykorzystywany jako część techniki przejmowania kolejności wyszukiwania plików DLL. Z drugiej strony plik „d3d9.dll" jest uszkodzony i po załadowaniu przez legalny plik binarny jest odpowiedzialny za wstrzyknięcie ładunku FinSpy do procesu Winlogon.
