BlackOasis APT

BlackOasis este numele dat unui grup de hackeri Advanced Persistent Threat (APT) care lansează atacuri foarte țintite împotriva unor victime specifice din regiunea Orientului Mijlociu. Grupul folosește evenimente din ciclul de știri contemporan pentru a crea e-mailuri de tip spear-phishing și documente de momeală folosite pentru a ascunde activitatea amenințătoare a setului lor de instrumente. Printre țintele BlackOasis APT se numără reprezentanții ONU, corespondenții regionali de știri, entitățile regionale, activiștii internaționali și grupurile de reflecție. Răspândirea geologică a victimelor detectate se întinde pe țările Rusia, Nigeria, Irak, Libia, Iordania, Arabia Saudită, Iran, Bahrain, Țările de Jos, Angola, Marea Britanie și Afganistan.

Hackerii sunt specializați în exploatarea vulnerabilităților zero-day, care afectează în principal Adobe Flash. Până acum, cercetătorii Infosec au observat campaniile BlakcOasis care profită de cinci vulnerabilități diferite de tip zero-day:

• CVE-2015-5119 – iunie 2015
• CVE-2016-0984 – iunie 2015
• CVE-2016-4117 – mai 2016
• CVE-2017-8759 – septembrie 2017
• CVE-2017-11292 – oct 2017

Sarcina utilă finală livrată în atacurile de către BlackOasis a fost aproape întotdeauna din familia FinSpy.

Lanț de atac complex

BlackOasis APT folosește un lanț de atac sofisticat în mai multe etape. În campania de exploatare a vulnerabilității CVE-2017-11292 - o vulnerabilitate de corupție a memoriei care există în clasa " com.adobe.tvsdk.mediacore.BufferControlParameters ", punctul de sprijin inițial a fost stabilit prin distribuirea unui document Office corupt care conținea o încorporare. Obiect ActiveX care folosește exploitul Flash. La executarea cu succes, prima etapă shellcode contactează o adresă hardcoded la „hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf” de la care furnizează și execută un shellcode din a doua etapă. În timpul acestui pas al atacului, codul shell executat acționează ca un dropper pentru încărcarea utilă a malware-ului real, dar aceasta nu este singura sarcină pe care trebuie să o îndeplinească. De asemenea, descarcă documentul momeală care va fi afișat utilizatorului.

Sarcina utilă finală FinSpy este livrată ca fișier denumit „ mo.exe. Când este executat, creează fișiere în cinci locații specifice:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Printre fișierele livrate, „AdapterTroubleshooter.exe” este un binar legitim care este totuși exploatat ca parte a unei tehnici de deturnare a ordinului de căutare DLL. Pe de altă parte, fișierul „d3d9.dll” este corupt și, după ce a fost încărcat de binarul legitim, este responsabil pentru injectarea încărcăturii utile FinSpy în procesul Winlogon.