BlackOasis APT

BlackOasis é o nome dado a um grupo de hackers de Advanced Persistent Threat (APT) que realiza ataques altamente direcionados contra vítimas específicas da região do Oriente Médio. O grupo usa eventos do ciclo de notícias contemporâneas para criar e-mails de spear-phishing e documentos ilusórios usados para esconder a atividade ameaçadora de seu kit de ferramentas. Entre os alvos do BlackOasis APT estão representantes da ONU, correspondentes de notícias regionais, entidades regionais, ativistas internacionais e grupos de reflexão. A disseminação geológica das vítimas detectadas abrange os países Rússia, Nigéria, Iraque, Líbia, Jordânia, Arábia Saudita, Irã, Bahrein, Holanda, Angola, Reino Unido e Afeganistão.

Os hackers se especializam na exploração de vulnerabilidades de dia zero, afetando principalmente o Adobe Flash. Até agora, os pesquisadores da Infosec observaram as campanhas BlakcOasis aproveitando cinco vulnerabilidades diferentes de dia zero:

  • CVE-2015-5119 - junho de 2015
  • CVE-2016-0984 - junho de 2015
  • CVE-2016-4117 - maio de 2016
  • CVE-2017-8759 - setembro de 2017
  • CVE-2017-11292 - outubro de 2017

A carga útil final entregue nos ataques pelo BlackOasis quase sempre foi da família FinSpy.

Complexa Cadeia de Ataque

O BlackOasis APT emprega uma sofisticada cadeia de ataque em vários estágios. Na campanha que explora a vulnerabilidade CVE-2017-11292 - uma vulnerabilidade de corrupção de memória que existe nas classes ' com.adobe.tvsdk.mediacore.BufferControlParameters ', o ponto de apoio inicial foi estabelecido através da distribuição de um documento corrompido do Office que continha um embed Objeto ActiveX aproveitando a exploração do Flash. Após a execução bem-sucedida, o shellcode do primeiro estágio contata um endereço codificado em 'hxxp: //89.45.67[.]107/rss/5uzosoff0u.iaf' a partir do qual ele entrega e executa um shellcode do segundo estágio. Durante esta etapa do ataque, o código de shell executado atua como um dropper para a carga útil do malware real, mas essa não é a única tarefa que ele deve executar. Ele também baixa o documento falso que será exibido para o usuário.

A carga final FinSpy é entregue como um arquivo chamado ' mo.exe. 'Quando executado, ele cria arquivos em cinco locais específicos:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Entre os arquivos entregues, 'AdapterTroubleshooter.exe' é um binário legítimo que, no entanto, é explorado como parte de uma técnica de sequestro de ordem de pesquisa de DLL. O arquivo 'd3d9.dll', por outro lado, está corrompido e, após ser carregado pelo binário legítimo, é responsável por injetar a carga FinSpy no processo Winlogon.

Tendendo

Mais visto

Carregando...