BlackOasis APT
BlackOasis är namnet på en Advanced Persistent Threat (APT) grupp av hackare som levererar mycket riktade attacker mot specifika offer från Mellanösternregionen. Gruppen använder händelser från den samtida nyhetscykeln för att skapa spear-phishing-e-postmeddelanden och lockdokument som används för att dölja den hotfulla aktiviteten i deras verktygslåda. Bland målen för BlackOasis APT är FN-representanter, regionala nyhetskorrespondenter, regionala enheter, internationella aktivister och tankesmedjor. Den geologiska spridningen av upptäckta offer sträcker sig över länderna Ryssland, Nigeria, Irak, Libyen, Jordanien, Saudiarabien, Iran, Bahrain, Nederländerna, Angola, Storbritannien och Afghanistan.
Hackarna är specialiserade på att utnyttja nolldagssårbarheter, som främst påverkar Adobe Flash. Hittills har infosec-forskare observerat BlakcOasis-kampanjer som utnyttjar fem olika nolldagars sårbarheter:
- CVE-2015-5119 – juni 2015
- CVE-2016-0984 – juni 2015
- CVE-2016-4117 – maj 2016
- CVE-2017-8759 – september 2017
- CVE-2017-11292 – oktober 2017
Den sista nyttolasten som levererades i attackerna av BlackOasis har nästan alltid kommit från FinSpy-familjen.
Komplex attackkedja
BlackOasis APT använder en sofistikerad attackkedja i flera steg. I kampanjen som utnyttjade CVE-2017-11292-sårbarheten - en minneskorruptionssårbarhet som finns i klassen ' com.adobe.tvsdk.mediacore.BufferControlParameters ', etablerades det första fotfästet genom distributionen av ett skadat Office-dokument som innehöll en inbäddning ActiveX-objekt som utnyttjar Flash-exploateringen. Vid framgångsrik exekvering kontaktar första stegs skalkoden en hårdkodad adress på 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' från vilken den levererar och exekverar en andra stegs skalkod. Under detta steg av attacken fungerar den körda skalkoden som en droppe för den faktiska skadliga nyttolasten, men det är inte den enda uppgiften den måste utföra. Den laddar också ned lockbetsdokumentet som kommer att visas för användaren.
Den slutliga FinSpy- nyttolasten levereras som en fil med namnet ' mo.exe. ' När den körs skapar den filer på fem specifika platser:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
Bland de levererade filerna är 'AdapterTroubleshooter.exe' en legitim binär fil som ändå utnyttjas som en del av en DLL-sökorderkapningsteknik. Filen 'd3d9.dll' å andra sidan är skadad och, efter att ha laddats av den legitima binära filen, är den ansvarig för att injicera FinSpy-nyttolasten i Winlogon-processen.
