BlackOasis APT

BlackOasis APT

BlackOasis je názov pre skupinu hackerov APT (Advanced Persistent Threat), ktorí poskytujú vysoko cielené útoky proti konkrétnym obetiam z oblasti Blízkeho východu. Skupina využíva udalosti zo súčasného spravodajského cyklu na vytváranie e-mailov typu spear-phishing a navádzanie dokumentov, ktoré slúžia na skrytie hrozivej aktivity ich súpravy nástrojov. Medzi ciele BlackOasis APT patria predstavitelia OSN, regionálni spravodajcovia, regionálne subjekty, medzinárodní aktivisti a think-tanky. Geologické rozšírenie zistených obetí sa týka krajín Rusko, Nigéria, Irak, Líbya, Jordánsko, Saudská Arábia, Irán, Bahrajn, Holandsko, Angola, Spojené kráľovstvo a Afganistan.

Hackeri sa špecializujú na zneužívanie zero-day zraniteľností, ktoré postihujú najmä Adobe Flash. Výskumníci z infosec doteraz pozorovali kampane BlakcOasis využívajúce päť rôznych zraniteľností zero-day:

  • CVE-2015-5119 – jún 2015
  • CVE-2016-0984 – jún 2015
  • CVE-2016-4117 – máj 2016
  • CVE-2017-8759 – september 2017
  • CVE-2017-11292 – október 2017

Konečné užitočné zaťaženie pri útokoch BlackOasis bolo takmer vždy z rodiny FinSpy.

Komplexný útočný reťazec

BlackOasis APT využíva sofistikovaný viacstupňový reťazec útokov. V kampani využívajúcej zraniteľnosť CVE-2017-11292 – zraniteľnosť týkajúcu sa poškodenia pamäte, ktorá existuje v triede „com.adobe.tvsdk.mediacore.BufferControlParameters “, bola počiatočná opora vytvorená distribúciou poškodeného dokumentu balíka Office, ktorý obsahoval vložené Objekt ActiveX využívajúci využitie Flash. Po úspešnom spustení shell kód prvej fázy kontaktuje napevno zakódovanú adresu 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', z ktorej doručí a vykoná shell kód druhej fázy. Počas tohto kroku útoku spustený shell kód funguje ako kvapkadlo pre skutočné užitočné zaťaženie škodlivého softvéru, ale to nie je jediná úloha, ktorú musí vykonať. Stiahne aj návnadu, ktorá sa zobrazí používateľovi.

Konečná užitočná časť FinSpy je doručená ako súbor s názvom ' mo.exe. Po spustení vytvorí súbory na piatich konkrétnych miestach:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Medzi doručenými súbormi je 'AdapterTroubleshooter.exe' legitímny binárny súbor, ktorý sa však využíva ako súčasť techniky únosu príkazu vyhľadávania DLL. Súbor 'd3d9.dll' je na druhej strane poškodený a po načítaní legitímnym binárnym súborom je zodpovedný za vloženie dát FinSpy do procesu Winlogon.

Loading...