BlackOasis APT

BlackOasis APT

BlackOasis është emri që i është dhënë një grupi hakerësh të Kërcënimeve të Avancuara të Përhershme (APT) që kryejnë sulme me shënjestër të lartë kundër viktimave specifike nga rajoni i Lindjes së Mesme. Grupi përdor ngjarje nga cikli bashkëkohor i lajmeve për të krijuar e-mail-e phishing me shtizë dhe dokumente mashtrimi të përdorura për të fshehur aktivitetin kërcënues të paketës së tyre të mjeteve. Ndër objektivat e BlackOasis APT janë përfaqësues të OKB-së, korrespondentë rajonalë të lajmeve, entitete rajonale, aktivistë ndërkombëtarë dhe institute kërkimore. Përhapja gjeologjike e viktimave të zbuluara përfshin vendet Rusia, Nigeria, Iraku, Libia, Jordania, Arabia Saudite, Irani, Bahreini, Holanda, Angola, Britania e Madhe dhe Afganistani.

Hakerët janë të specializuar në shfrytëzimin e dobësive të ditës zero, që prekin kryesisht Adobe Flash. Deri më tani, studiuesit e infosec kanë vëzhguar fushatat e BlakcOasis duke përfituar nga pesë dobësi të ndryshme të ditës zero:

  • CVE-2015-5119 – Qershor 2015
  • CVE-2016-0984 – Qershor 2015
  • CVE-2016-4117 - maj 2016
  • CVE-2017-8759 - Shtator 2017
  • CVE-2017-11292 - tetor 2017

Ngarkesa përfundimtare e dorëzuar në sulmet nga BlackOasis ka qenë pothuajse gjithmonë nga familja FinSpy.

Zinxhiri Kompleksi i Sulmit

BlackOasis APT përdor një zinxhir të sofistikuar sulmi me shumë faza. Në fushatën që shfrytëzon cenueshmërinë CVE-2017-11292 - një dobësi e dëmtimit të memories që ekziston në klasën 'com.adobe.tvsdk.mediacore.BufferControlParameters', baza fillestare u krijua nëpërmjet shpërndarjes së një dokumenti të korruptuar të Office që përmbante një ngulitje Objekti ActiveX që shfrytëzon shfrytëzimin Flash. Pas ekzekutimit të suksesshëm, shellcode i fazës së parë kontakton një adresë të koduar në 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' nga e cila jep dhe ekzekuton një shellcode të fazës së dytë. Gjatë këtij hapi të sulmit, kodi i ekzekutuar i guaskës vepron si pikatore për ngarkesën aktuale të malware, por kjo nuk është e vetmja detyrë që duhet të kryejë. Ai gjithashtu shkarkon dokumentin e mashtrimit që do t'i shfaqet përdoruesit.

Ngarkesa përfundimtare e FinSpy dorëzohet si një skedar me emrin ' mo.exe. Kur ekzekutohet, krijon skedarë në pesë vendndodhje specifike:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Midis skedarëve të dorëzuar, 'AdapterTroubleshooter.exe' është një binar legjitim që megjithatë shfrytëzohet si pjesë e një teknike të rrëmbimit të porosive të kërkimit DLL. Skedari 'd3d9.dll,' nga ana tjetër, është i korruptuar dhe, pasi ngarkohet nga binari i ligjshëm, është përgjegjës për injektimin e ngarkesës FinSpy në procesin Winlogon.

Në trend

Po ngarkohet...