BlackOasis APT

பிளாக் ஒயாசிஸ் என்பது மத்திய கிழக்கு பிராந்தியத்தில் இருந்து குறிப்பிட்ட பாதிக்கப்பட்டவர்களுக்கு எதிராக அதிக இலக்கு கொண்ட தாக்குதல்களை வழங்கும் ஹேக்கர்களின் மேம்பட்ட நிலையான அச்சுறுத்தல் (APT) குழுவிற்கு கொடுக்கப்பட்ட பெயர். ஈட்டி-ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் அவர்களின் கருவித்தொகுப்பின் அச்சுறுத்தும் செயல்பாட்டை மறைக்கப் பயன்படுத்தப்படும் ஆவணங்களை சிதைப்பதற்கு சமகால செய்தி சுழற்சியில் இருந்து நிகழ்வுகளை குழு பயன்படுத்துகிறது. BlackOasis APT இன் இலக்குகளில் UN பிரதிநிதிகள், பிராந்திய செய்தி நிருபர்கள், பிராந்திய நிறுவனங்கள், சர்வதேச ஆர்வலர்கள் மற்றும் சிந்தனைக் குழுக்கள் உள்ளனர். கண்டறியப்பட்ட பாதிக்கப்பட்டவர்களின் புவியியல் பரவல் ரஷ்யா, நைஜீரியா, ஈராக், லிபியா, ஜோர்டான், சவுதி அரேபியா, ஈரான், பஹ்ரைன், நெதர்லாந்து, அங்கோலா, இங்கிலாந்து மற்றும் ஆப்கானிஸ்தான் ஆகிய நாடுகளில் பரவியுள்ளது.

ஹேக்கர்கள் பூஜ்ஜிய-நாள் பாதிப்புகளைச் சுரண்டுவதில் நிபுணத்துவம் பெற்றவர்கள், முக்கியமாக Adobe Flash ஐப் பாதிக்கிறார்கள். இதுவரை, ஐந்து வெவ்வேறு பூஜ்ஜிய நாள் பாதிப்புகளைப் பயன்படுத்தி BlakcOasis பிரச்சாரங்களை இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர்:

• CVE-2015-5119 - ஜூன் 2015
• CVE-2016-0984 - ஜூன் 2015
• CVE-2016-4117 - மே 2016
• CVE-2017-8759 - செப்டம்பர் 2017
• CVE-2017-11292 - அக்டோபர் 2017

பிளாக் ஒயாசிஸின் தாக்குதல்களில் வழங்கப்பட்ட இறுதி பேலோட் எப்பொழுதும் FinSpy குடும்பத்தைச் சேர்ந்தது.

சிக்கலான தாக்குதல் சங்கிலி

BlackOasis APT ஒரு அதிநவீன பல-நிலை தாக்குதல் சங்கிலியைப் பயன்படுத்துகிறது. CVE-2017-11292 பாதிப்பு - ' com.adobe.tvsdk.mediacore.BufferControlParameters ' வகுப்பில் இருக்கும் நினைவக சிதைவு பாதிப்பு - ஒரு உட்பொதிக்கப்பட்ட அலுவலக ஆவணத்தை விநியோகிப்பதன் மூலம் ஆரம்ப நிலை நிறுவப்பட்டது. ஆக்டிவ்எக்ஸ் பொருள் ஃப்ளாஷ் சுரண்டலை மேம்படுத்துகிறது. வெற்றிகரமாகச் செயல்படுத்தப்பட்டவுடன், முதல்-நிலை ஷெல்கோடு 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' என்ற ஹார்ட்கோட் செய்யப்பட்ட முகவரியைத் தொடர்பு கொள்கிறது, அதில் இருந்து அது இரண்டாம்-நிலை ஷெல்கோடை வழங்கி செயல்படுத்துகிறது. தாக்குதலின் இந்த கட்டத்தில், செயல்படுத்தப்பட்ட ஷெல் குறியீடு உண்மையான மால்வேர் பேலோடுக்கான துளிசொட்டியாக செயல்படுகிறது, ஆனால் அது மட்டும் செய்ய வேண்டிய பணி அல்ல. இது பயனருக்குக் காட்டப்படும் டிகோய் ஆவணத்தையும் பதிவிறக்குகிறது.

இறுதி FinSpy பேலோட் 'mo.exe ' என்ற பெயரில் ஒரு கோப்பாக வழங்கப்படுகிறது. ' செயல்படுத்தப்படும் போது, அது ஐந்து குறிப்பிட்ட இடங்களில் கோப்புகளை உருவாக்குகிறது:

• சி:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

டெலிவரி செய்யப்பட்ட கோப்புகளில், 'AdapterTroubleshooter.exe' என்பது ஒரு சட்டபூர்வமான பைனரி ஆகும், இருப்பினும் இது DLL தேடல் ஆர்டர் கடத்தல் நுட்பத்தின் ஒரு பகுதியாகப் பயன்படுத்தப்படுகிறது. மறுபுறம், 'd3d9.dll' கோப்பு சிதைந்து, முறையான பைனரி மூலம் ஏற்றப்பட்ட பிறகு, Winlogon செயல்முறையில் FinSpy பேலோடை செலுத்துவதற்கு பொறுப்பாகும்.