BlackOasis APT

BlackOasis — это название, данное группе хакеров Advanced Persistent Threat (APT), которые проводят целенаправленные атаки против конкретных жертв из ближневосточного региона. Группа использует события из современного новостного цикла для создания адресных фишинговых электронных писем и документов-приманок, используемых для сокрытия угрожающей активности их инструментария. Среди целей BlackOasis APT — представители ООН, корреспонденты региональных новостей, региональные организации, международные активисты и аналитические центры. Геологическое распространение обнаруженных жертв охватывает страны Россия, Нигерия, Ирак, Ливия, Иордания, Саудовская Аравия, Иран, Бахрейн, Нидерланды, Ангола, Великобритания и Афганистан.

Хакеры специализируются на эксплуатации уязвимостей нулевого дня, в основном затрагивающих Adobe Flash. На данный момент исследователи информационной безопасности наблюдали, как кампании BlakcOasis используют пять различных уязвимостей нулевого дня:

• CVE-2015-5119 — июнь 2015 г.
• CVE-2016-0984 — июнь 2015 г.
• CVE-2016-4117 — май 2016 г.
• CVE-2017-8759 — сентябрь 2017 г.
• CVE-2017-11292 — октябрь 2017 г.

Последняя полезная нагрузка, доставляемая BlackOasis при атаках, почти всегда принадлежала семейству FinSpy.

Комплексная цепочка атак

BlackOasis APT использует сложную многоэтапную цепочку атак. В кампании, использующей уязвимость CVE-2017-11292 — уязвимость повреждения памяти, существующую в классе « com.adobe.tvsdk.mediacore.BufferControlParameters », первоначальный плацдарм был установлен путем распространения поврежденного документа Office, который содержал вставку Объект ActiveX, использующий эксплойт Flash. После успешного выполнения шелл-код первого этапа связывается с жестко запрограммированным адресом «hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf», откуда он доставляет и выполняет шелл-код второго этапа. На этом этапе атаки исполняемый шелл-код действует как дроппер для фактической полезной нагрузки вредоносного ПО, но это не единственная задача, которую он должен выполнять. Он также загружает документ-приманку, который будет отображаться пользователю.

Окончательная полезная нагрузка FinSpy доставляется в виде файла с именем « mo.exe. ' При выполнении он создает файлы в пяти определенных местах:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Среди доставленных файлов «AdapterTroubleshooter.exe» является законным двоичным файлом, который, тем не менее, используется как часть метода перехвата порядка поиска DLL. Файл «d3d9.dll», с другой стороны, поврежден и после загрузки законным двоичным файлом отвечает за внедрение полезной нагрузки FinSpy в процесс Winlogon.