สิทธิ์ใช้งานหลายอุปกรณ์ (ส่วนลดตามปริมาณ)
Threat Database Advanced Persistent Threat (APT) BlackOasis APT

BlackOasis APT

โดย GoldSparrow ใน Advanced Persistent Threat (APT)
แปลเป็น:
ภาษาไทย

BlackOasis เป็นชื่อที่มอบให้กับกลุ่มแฮ็กเกอร์ Advanced Persistent Threat (APT) ที่โจมตีเหยื่อเฉพาะกลุ่มจากภูมิภาคตะวันออกกลาง กลุ่มนี้ใช้เหตุการณ์จากวงจรข่าวร่วมสมัยเพื่อสร้างอีเมลหลอกลวงแบบสเปียร์ฟิชชิ่งและเอกสารลวงที่ใช้ในการซ่อนกิจกรรมที่คุกคามของชุดเครื่องมือ เป้าหมายของ BlackOasis APT ได้แก่ ตัวแทนของสหประชาชาติ นักข่าวระดับภูมิภาค หน่วยงานระดับภูมิภาค นักเคลื่อนไหวระหว่างประเทศ และนักคิด การแพร่กระจายทางธรณีวิทยาของเหยื่อที่ตรวจพบนั้นครอบคลุมประเทศรัสเซีย ไนจีเรีย อิรัก ลิเบีย จอร์แดน ซาอุดีอาระเบีย อิหร่าน บาห์เรน เนเธอร์แลนด์ แองโกลา สหราชอาณาจักร และอัฟกานิสถาน

แฮกเกอร์เชี่ยวชาญในการหาประโยชน์จากช่องโหว่ซีโร่เดย์ ซึ่งส่งผลกระทบต่อ Adobe Flash เป็นหลัก จนถึงตอนนี้ นักวิจัยของ infosec ได้สังเกตเห็นแคมเปญ BlakcOasis ใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ที่แตกต่างกันห้าจุด:

  • CVE-2015-5119 – มิถุนายน 2015
  • CVE-2016-0984 – มิถุนายน 2558
  • CVE-2016-4117 – พฤษภาคม 2016
  • CVE-2017-8759 – กันยายน 2017
  • CVE-2017-11292 – ต.ค. 2017

เพย์โหลดสุดท้ายที่ส่งมอบในการโจมตีโดย BlackOasis นั้นมาจากตระกูล FinSpy เกือบทุกครั้ง

โซ่โจมตีที่ซับซ้อน

BlackOasis APT ใช้ห่วงโซ่การโจมตีหลายขั้นตอนที่ซับซ้อน ในการรณรงค์หาประโยชน์จากช่องโหว่ CVE-2017-11292 - ช่องโหว่หน่วยความจำเสียหายที่มีอยู่ใน คลาส ' com.adobe.tvsdk.mediacore.BufferControlParameters ' ตั้งหลักเริ่มต้นโดยการกระจายเอกสาร Office ที่เสียหายซึ่งมีการฝัง วัตถุ ActiveX ใช้ประโยชน์จากการใช้ประโยชน์จาก Flash เมื่อดำเนินการสำเร็จแล้ว shellcode ระยะแรกจะติดต่อกับที่อยู่ที่ฮาร์ดโค้ดที่ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' ซึ่งจะส่งและดำเนินการกับเชลล์โค้ดขั้นที่สอง ในระหว่างขั้นตอนนี้ของการโจมตี รหัสเชลล์ที่ดำเนินการจะทำหน้าที่เป็นหยดสำหรับเพย์โหลดมัลแวร์จริง แต่นั่นไม่ใช่งานเดียวที่ต้องทำ นอกจากนี้ยังดาวน์โหลดเอกสารล่อที่จะแสดงให้ผู้ใช้เห็น

เพย์ โหลด FinSpy สุดท้ายถูกส่งเป็นไฟล์ชื่อ ' mo.exe ' เมื่อดำเนินการ มันจะสร้างไฟล์ในห้าตำแหน่งเฉพาะ:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

ในบรรดาไฟล์ที่จัดส่ง 'AdapterTroubleshooter.exe' เป็นไบนารีที่ถูกต้องซึ่งยังคงถูกนำไปใช้ประโยชน์โดยเป็นส่วนหนึ่งของเทคนิคการจี้คำสั่งค้นหา DLL ในทางกลับกัน ไฟล์ 'd3d9.dll' เสียหาย และหลังจากโหลดโดยไบนารีที่ถูกต้องแล้ว มีหน้าที่ในการฉีดเพย์โหลด FinSpy เข้าสู่กระบวนการ Winlogon

มาแรง

อีเมลหลอกลวง 'YouPorn'

Spam
หลังจากการตรวจสอบอีเมล 'YouPorn' อย่างละเอียด ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ยืนยันลักษณะการฉ้อโกงของพวกเขา อีเมลเหล่านี้เป็นส่วนหนึ่งของสแปมรูปแบบต่างๆ ซึ่งล้วนคล้ายกับกลยุทธ์การขู่กรรโชกทางเพศ กระทู้ที่พบบ่อยในอีเมลหลอกลวงเหล่านี้เป็นการยืนยันเท็จว่าผู้รับมีส่วนเกี่ยวข้องในเนื้อหาทางเพศที่โจ่งแจ้งซึ่งโพสต์บนเว็บไซต์ YouPorn เมื่อเร็ว ๆ นี้...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng เป็นส่วนขยายเบราว์เซอร์ประเภทหนึ่งที่จัดการฟังก์ชันการค้นหาของเว็บเบราว์เซอร์ของผู้ใช้ โดยเปลี่ยนเส้นทางการค้นหาไปยังเครื่องมือค้นหาที่ไม่ต้องการ...

มายวอลล์เปเปอร์

Browser Hijackers
ผู้ใช้คอมพิวเตอร์มักจะพบกับซอฟต์แวร์และแอพพลิเคชั่นต่างๆ ที่ได้รับการออกแบบมาเพื่อยกระดับประสบการณ์ออนไลน์ของตน อย่างไรก็ตาม ไม่ใช่ว่าซอฟต์แวร์ทั้งหมดจะถูกสร้างขึ้นด้วยเจตนาดี...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
28,869
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
14,963
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...