బ్లాక్ ఒయాసిస్ APT
BlackOasis అనేది మిడిల్ ఈస్టర్న్ ప్రాంతం నుండి నిర్దిష్ట బాధితులకు వ్యతిరేకంగా అధిక-లక్ష్య దాడులను అందించే హ్యాకర్ల యొక్క అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహానికి ఇవ్వబడిన పేరు. సమూహం వారి టూల్కిట్ యొక్క బెదిరింపు కార్యాచరణను దాచడానికి ఉపయోగించే స్పియర్-ఫిషింగ్ ఇమెయిల్లు మరియు డికాయ్ డాక్యుమెంట్లను రూపొందించడానికి సమకాలీన వార్తల చక్రం నుండి ఈవెంట్లను ఉపయోగిస్తుంది. BlackOasis APT యొక్క లక్ష్యాలలో UN ప్రతినిధులు, ప్రాంతీయ వార్తా ప్రతినిధులు, ప్రాంతీయ సంస్థలు, అంతర్జాతీయ కార్యకర్తలు మరియు థింక్ ట్యాంక్లు ఉన్నారు. గుర్తించబడిన బాధితుల భౌగోళిక వ్యాప్తి రష్యా, నైజీరియా, ఇరాక్, లిబియా, జోర్డాన్, సౌదీ అరేబియా, ఇరాన్, బహ్రెయిన్, నెదర్లాండ్స్, అంగోలా, UK మరియు ఆఫ్ఘనిస్తాన్ దేశాలలో విస్తరించి ఉంది.
హ్యాకర్లు జీరో-డే దుర్బలత్వాల దోపిడీలో ప్రత్యేకత కలిగి ఉన్నారు, ప్రధానంగా Adobe Flashని ప్రభావితం చేస్తారు. ఇప్పటి వరకు, ఇన్ఫోసెక్ పరిశోధకులు BlakcOasis ప్రచారాలు ఐదు వేర్వేరు జీరో-డే దుర్బలత్వాలను ఉపయోగించడాన్ని గమనించారు:
- CVE-2015-5119 – జూన్ 2015
- CVE-2016-0984 – జూన్ 2015
- CVE-2016-4117 – మే 2016
- CVE-2017-8759 – సెప్టెంబర్ 2017
- CVE-2017-11292 – అక్టోబర్ 2017
BlackOasis ద్వారా దాడులలో అందించబడిన చివరి పేలోడ్ దాదాపు ఎల్లప్పుడూ FinSpy కుటుంబం నుండి వచ్చింది.
కాంప్లెక్స్ అటాక్ చైన్
BlackOasis APT ఒక అధునాతన బహుళ-దశల దాడి గొలుసును ఉపయోగిస్తుంది. CVE-2017-11292 దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రచారంలో - ' com.adobe.tvsdk.mediacore.BufferControlParameters' క్లాస్లో ఉన్న మెమరీ అవినీతి దుర్బలత్వం, ఎంబెడ్ను కలిగి ఉన్న పాడైన ఆఫీస్ పత్రం పంపిణీ ద్వారా ప్రారంభ అడుగు స్థాపించబడింది. ActiveX వస్తువు ఫ్లాష్ దోపిడీని ప్రభావితం చేస్తుంది. విజయవంతంగా అమలు చేయబడిన తర్వాత, మొదటి-దశ షెల్కోడ్ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' వద్ద హార్డ్కోడ్ చిరునామాను సంప్రదిస్తుంది, దాని నుండి ఇది రెండవ-దశ షెల్కోడ్ను బట్వాడా చేస్తుంది మరియు అమలు చేస్తుంది. దాడి యొక్క ఈ దశలో, అమలు చేయబడిన షెల్ కోడ్ అసలు మాల్వేర్ పేలోడ్కు డ్రాపర్గా పనిచేస్తుంది, కానీ అది తప్పక చేయవలసిన పని మాత్రమే కాదు. ఇది వినియోగదారుకు ప్రదర్శించబడే డికోయ్ డాక్యుమెంట్ను కూడా డౌన్లోడ్ చేస్తుంది.
చివరి FinSpy పేలోడ్ 'mo.exe పేరుతో ఫైల్గా పంపిణీ చేయబడింది. ' అమలు చేసినప్పుడు, ఇది ఐదు నిర్దిష్ట స్థానాల్లో ఫైళ్లను సృష్టిస్తుంది:
- సి:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- సి:\ProgramData\ManagerApp\15b937.cab
- సి:\ProgramData\ManagerApp\install.cab
- సి:\ProgramData\ManagerApp\msvcr90.dll
- సి:\ProgramData\ManagerApp\d3d9.dll
డెలివరీ చేయబడిన ఫైల్లలో, 'AdapterTroubleshooter.exe' అనేది చట్టబద్ధమైన బైనరీ, అయినప్పటికీ DLL శోధన ఆర్డర్ హైజాకింగ్ టెక్నిక్లో భాగంగా ఉపయోగించబడింది. మరోవైపు, 'd3d9.dll' ఫైల్ పాడైంది మరియు చట్టబద్ధమైన బైనరీ ద్వారా లోడ్ చేయబడిన తర్వాత, Winlogon ప్రక్రియలో FinSpy పేలోడ్ను ఇంజెక్ట్ చేయడానికి బాధ్యత వహిస్తుంది.