БлацкОасис АПТ

БлацкОасис АПТ

БлацкОасис је име дато групи хакера за напредну трајну претњу (АПТ) који испоручују високо циљане нападе на одређене жртве из блискоисточног региона. Група користи догађаје из савременог циклуса вести да креира е-поруке за крађу идентитета и лажне документе који се користе да сакрије претећу активност њиховог комплета алата. Међу метама БлацкОасис АПТ-а су представници УН-а, регионални дописници вести, регионални ентитети, међународни активисти и истраживачки центри. Геолошки распрострањеност откривених жртава обухвата земље Русију, Нигерију, Ирак, Либију, Јордан, Саудијску Арабију, Иран, Бахреин, Холандију, Анголу, Велику Британију и Авганистан.

Хакери су специјализовани за искоришћавање рањивости нултог дана, које углавном утичу на Адобе Фласх. До сада су истраживачи инфосец-а посматрали кампање БлакцОасис-а које користе пет различитих рањивости нултог дана:

  • ЦВЕ-2015-5119 – јун 2015
  • ЦВЕ-2016-0984 – јун 2015
  • ЦВЕ-2016-4117 – мај 2016
  • ЦВЕ-2017-8759 – септембар 2017
  • ЦВЕ-2017-11292 – октобар 2017

Коначни терет који је БлацкОасис испоручио у нападима је скоро увек био из породице ФинСпи.

Сложени ланац напада

БлацкОасис АПТ користи софистицирани вишестепени ланац напада. У кампањи која је искоришћавала рањивост ЦВЕ-2017-11292 - рањивост због оштећења меморије која постоји у класи 'цом.адобе.твсдк.медиацоре.БуфферЦонтролПараметерс', почетно упориште је успостављено кроз дистрибуцију оштећеног Оффице документа који је носио уграђену АцтивеКс објекат који користи Фласх експлоатацију. Након успешног извршења, шел код прве фазе ступа у контакт са тврдо кодираном адресом на 'хккп://89.45.67[.]107/рсс/5узософф0у.иаф' са које испоручује и извршава шел код друге фазе. Током овог корака напада, извршени код љуске делује као испуштање стварног садржаја малвера, али то није једини задатак који мора да обави. Такође преузима мамци документ који ће бити приказан кориснику.

Коначни ФинСпи терет се испоручује као датотека под називом ' мо.еке. ' Када се изврши, креира датотеке на пет одређених локација:

  • Ц:\ПрограмДата\МанагерАпп\АдаптерТроублесхоотер.еке
  • Ц:\ПрограмДата\МанагерАпп\15б937.цаб
  • Ц:\ПрограмДата\МанагерАпп\инсталл.цаб
  • Ц:\ПрограмДата\МанагерАпп\мсвцр90.длл
  • Ц:\ПрограмДата\МанагерАпп\д3д9.длл

Међу испорученим датотекама, 'АдаптерТроублесхоотер.еке' је легитиман бинарни фајл који се ипак експлоатише као део технике отмице налога за претрагу ДЛЛ-а. С друге стране, датотека 'д3д9.длл' је оштећена и, након што је учитава легитимним бинарним програмом, одговорна је за убацивање ФинСпи корисног оптерећења у Винлогон процес.

Loading...