బ్లాక్ ఒయాసిస్ APT

BlackOasis అనేది మిడిల్ ఈస్టర్న్ ప్రాంతం నుండి నిర్దిష్ట బాధితులకు వ్యతిరేకంగా అధిక-లక్ష్య దాడులను అందించే హ్యాకర్ల యొక్క అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహానికి ఇవ్వబడిన పేరు. సమూహం వారి టూల్‌కిట్ యొక్క బెదిరింపు కార్యాచరణను దాచడానికి ఉపయోగించే స్పియర్-ఫిషింగ్ ఇమెయిల్‌లు మరియు డికాయ్ డాక్యుమెంట్‌లను రూపొందించడానికి సమకాలీన వార్తల చక్రం నుండి ఈవెంట్‌లను ఉపయోగిస్తుంది. BlackOasis APT యొక్క లక్ష్యాలలో UN ప్రతినిధులు, ప్రాంతీయ వార్తా ప్రతినిధులు, ప్రాంతీయ సంస్థలు, అంతర్జాతీయ కార్యకర్తలు మరియు థింక్ ట్యాంక్‌లు ఉన్నారు. గుర్తించబడిన బాధితుల భౌగోళిక వ్యాప్తి రష్యా, నైజీరియా, ఇరాక్, లిబియా, జోర్డాన్, సౌదీ అరేబియా, ఇరాన్, బహ్రెయిన్, నెదర్లాండ్స్, అంగోలా, UK మరియు ఆఫ్ఘనిస్తాన్ దేశాలలో విస్తరించి ఉంది.

హ్యాకర్లు జీరో-డే దుర్బలత్వాల దోపిడీలో ప్రత్యేకత కలిగి ఉన్నారు, ప్రధానంగా Adobe Flashని ప్రభావితం చేస్తారు. ఇప్పటి వరకు, ఇన్ఫోసెక్ పరిశోధకులు BlakcOasis ప్రచారాలు ఐదు వేర్వేరు జీరో-డే దుర్బలత్వాలను ఉపయోగించడాన్ని గమనించారు:

• CVE-2015-5119 – జూన్ 2015
• CVE-2016-0984 – జూన్ 2015
• CVE-2016-4117 – మే 2016
• CVE-2017-8759 – సెప్టెంబర్ 2017
• CVE-2017-11292 – అక్టోబర్ 2017

BlackOasis ద్వారా దాడులలో అందించబడిన చివరి పేలోడ్ దాదాపు ఎల్లప్పుడూ FinSpy కుటుంబం నుండి వచ్చింది.

కాంప్లెక్స్ అటాక్ చైన్

BlackOasis APT ఒక అధునాతన బహుళ-దశల దాడి గొలుసును ఉపయోగిస్తుంది. CVE-2017-11292 దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రచారంలో - ' com.adobe.tvsdk.mediacore.BufferControlParameters' క్లాస్‌లో ఉన్న మెమరీ అవినీతి దుర్బలత్వం, ఎంబెడ్‌ను కలిగి ఉన్న పాడైన ఆఫీస్ పత్రం పంపిణీ ద్వారా ప్రారంభ అడుగు స్థాపించబడింది. ActiveX వస్తువు ఫ్లాష్ దోపిడీని ప్రభావితం చేస్తుంది. విజయవంతంగా అమలు చేయబడిన తర్వాత, మొదటి-దశ షెల్‌కోడ్ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' వద్ద హార్డ్‌కోడ్ చిరునామాను సంప్రదిస్తుంది, దాని నుండి ఇది రెండవ-దశ షెల్‌కోడ్‌ను బట్వాడా చేస్తుంది మరియు అమలు చేస్తుంది. దాడి యొక్క ఈ దశలో, అమలు చేయబడిన షెల్ కోడ్ అసలు మాల్వేర్ పేలోడ్‌కు డ్రాపర్‌గా పనిచేస్తుంది, కానీ అది తప్పక చేయవలసిన పని మాత్రమే కాదు. ఇది వినియోగదారుకు ప్రదర్శించబడే డికోయ్ డాక్యుమెంట్‌ను కూడా డౌన్‌లోడ్ చేస్తుంది.

చివరి FinSpy పేలోడ్ 'mo.exe పేరుతో ఫైల్‌గా పంపిణీ చేయబడింది. ' అమలు చేసినప్పుడు, ఇది ఐదు నిర్దిష్ట స్థానాల్లో ఫైళ్లను సృష్టిస్తుంది:

• సి:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• సి:\ProgramData\ManagerApp\15b937.cab
• సి:\ProgramData\ManagerApp\install.cab
• సి:\ProgramData\ManagerApp\msvcr90.dll
• సి:\ProgramData\ManagerApp\d3d9.dll

డెలివరీ చేయబడిన ఫైల్‌లలో, 'AdapterTroubleshooter.exe' అనేది చట్టబద్ధమైన బైనరీ, అయినప్పటికీ DLL శోధన ఆర్డర్ హైజాకింగ్ టెక్నిక్‌లో భాగంగా ఉపయోగించబడింది. మరోవైపు, 'd3d9.dll' ఫైల్ పాడైంది మరియు చట్టబద్ధమైన బైనరీ ద్వారా లోడ్ చేయబడిన తర్వాత, Winlogon ప్రక్రియలో FinSpy పేలోడ్‌ను ఇంజెక్ట్ చేయడానికి బాధ్యత వహిస్తుంది.