BlackOasis APT

BlackOasis APT

BlackOasis je ime, dano skupini hekerjev Advanced Persistent Threat (APT), ki izvajajo visoko usmerjene napade na določene žrtve iz bližnjevzhodne regije. Skupina uporablja dogodke iz cikla sodobnih novic za izdelavo e-poštnih sporočil z lažnim predstavljanjem in dokumentov za zavajanje, ki se uporabljajo za skrivanje grozeče dejavnosti njihovega kompleta orodij. Med tarčami BlackOasis APT so predstavniki ZN, regionalni dopisniki novic, regionalni subjekti, mednarodni aktivisti in možganski trusti. Geološka razširjenost odkritih žrtev obsega države Rusijo, Nigerijo, Irak, Libijo, Jordanijo, Savdsko Arabijo, Iran, Bahrajn, Nizozemsko, Angolo, Združeno kraljestvo in Afganistan.

Hekerji so specializirani za izkoriščanje ranljivosti ničelnega dne, ki prizadene predvsem Adobe Flash. Doslej so raziskovalci infosec opazovali kampanje BlakcOasis, ki so izkoristile pet različnih ranljivosti ničelnega dne:

  • CVE-2015-5119 – junij 2015
  • CVE-2016-0984 – junij 2015
  • CVE-2016-4117 – maj 2016
  • CVE-2017-8759 – september 2017
  • CVE-2017-11292 – oktober 2017

Končni tovor, ki ga je pri napadih dostavil BlackOasis, je skoraj vedno prihajal iz družine FinSpy.

Kompleksna napadalna veriga

BlackOasis APT uporablja prefinjeno večstopenjsko verigo napadov. V kampanji, ki izkorišča ranljivost CVE-2017-11292 - ranljivost zaradi poškodbe pomnilnika, ki obstaja v razredu 'com.adobe.tvsdk.mediacore.BufferControlParameters', je bila začetna opora vzpostavljena z distribucijo poškodovanega Officeovega dokumenta, ki je vseboval vdelano Objekt ActiveX, ki izkorišča izkoriščanje Flash. Po uspešni izvedbi lupinska koda prve stopnje vzpostavi stik s trdo kodiranim naslovom na naslovu 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', iz katerega dostavi in izvede lupino druge stopnje. Med tem korakom napada izvedena koda lupine deluje kot odstranjevalec dejanskega tovora zlonamerne programske opreme, vendar to ni edina naloga, ki jo mora opraviti. Prav tako prenese dokument za vabo, ki bo prikazan uporabniku.

Končna koristna obremenitev FinSpy je dostavljena kot datoteka z imenom ' mo.exe. ' Ko se izvede, ustvari datoteke na petih določenih lokacijah:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Med dostavljenimi datotekami je 'AdapterTroubleshooter.exe' zakonita dvojiška datoteka, ki se kljub temu izkorišča kot del tehnike ugrabitve vrstnega reda iskanja DLL. Datoteka 'd3d9.dll' je po drugi strani poškodovana in je, potem ko jo naloži zakonit binarni program, odgovorna za vbrizgavanje koristnega tovora FinSpy v proces Winlogon.

Trending

Loading...