BlackOasis APT

BlackOasis APT

BlackOasis เป็นชื่อที่มอบให้กับกลุ่มแฮ็กเกอร์ Advanced Persistent Threat (APT) ที่โจมตีเหยื่อเฉพาะกลุ่มจากภูมิภาคตะวันออกกลาง กลุ่มนี้ใช้เหตุการณ์จากวงจรข่าวร่วมสมัยเพื่อสร้างอีเมลหลอกลวงแบบสเปียร์ฟิชชิ่งและเอกสารลวงที่ใช้ในการซ่อนกิจกรรมที่คุกคามของชุดเครื่องมือ เป้าหมายของ BlackOasis APT ได้แก่ ตัวแทนของสหประชาชาติ นักข่าวระดับภูมิภาค หน่วยงานระดับภูมิภาค นักเคลื่อนไหวระหว่างประเทศ และนักคิด การแพร่กระจายทางธรณีวิทยาของเหยื่อที่ตรวจพบนั้นครอบคลุมประเทศรัสเซีย ไนจีเรีย อิรัก ลิเบีย จอร์แดน ซาอุดีอาระเบีย อิหร่าน บาห์เรน เนเธอร์แลนด์ แองโกลา สหราชอาณาจักร และอัฟกานิสถาน

แฮกเกอร์เชี่ยวชาญในการหาประโยชน์จากช่องโหว่ซีโร่เดย์ ซึ่งส่งผลกระทบต่อ Adobe Flash เป็นหลัก จนถึงตอนนี้ นักวิจัยของ infosec ได้สังเกตเห็นแคมเปญ BlakcOasis ใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ที่แตกต่างกันห้าจุด:

  • CVE-2015-5119 – มิถุนายน 2015
  • CVE-2016-0984 – มิถุนายน 2558
  • CVE-2016-4117 – พฤษภาคม 2016
  • CVE-2017-8759 – กันยายน 2017
  • CVE-2017-11292 – ต.ค. 2017

เพย์โหลดสุดท้ายที่ส่งมอบในการโจมตีโดย BlackOasis นั้นมาจากตระกูล FinSpy เกือบทุกครั้ง

โซ่โจมตีที่ซับซ้อน

BlackOasis APT ใช้ห่วงโซ่การโจมตีหลายขั้นตอนที่ซับซ้อน ในการรณรงค์หาประโยชน์จากช่องโหว่ CVE-2017-11292 - ช่องโหว่หน่วยความจำเสียหายที่มีอยู่ใน คลาส ' com.adobe.tvsdk.mediacore.BufferControlParameters ' ตั้งหลักเริ่มต้นโดยการกระจายเอกสาร Office ที่เสียหายซึ่งมีการฝัง วัตถุ ActiveX ใช้ประโยชน์จากการใช้ประโยชน์จาก Flash เมื่อดำเนินการสำเร็จแล้ว shellcode ระยะแรกจะติดต่อกับที่อยู่ที่ฮาร์ดโค้ดที่ 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' ซึ่งจะส่งและดำเนินการกับเชลล์โค้ดขั้นที่สอง ในระหว่างขั้นตอนนี้ของการโจมตี รหัสเชลล์ที่ดำเนินการจะทำหน้าที่เป็นหยดสำหรับเพย์โหลดมัลแวร์จริง แต่นั่นไม่ใช่งานเดียวที่ต้องทำ นอกจากนี้ยังดาวน์โหลดเอกสารล่อที่จะแสดงให้ผู้ใช้เห็น

เพย์ โหลด FinSpy สุดท้ายถูกส่งเป็นไฟล์ชื่อ ' mo.exe ' เมื่อดำเนินการ มันจะสร้างไฟล์ในห้าตำแหน่งเฉพาะ:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

ในบรรดาไฟล์ที่จัดส่ง 'AdapterTroubleshooter.exe' เป็นไบนารีที่ถูกต้องซึ่งยังคงถูกนำไปใช้ประโยชน์โดยเป็นส่วนหนึ่งของเทคนิคการจี้คำสั่งค้นหา DLL ในทางกลับกัน ไฟล์ 'd3d9.dll' เสียหาย และหลังจากโหลดโดยไบนารีที่ถูกต้องแล้ว มีหน้าที่ในการฉีดเพย์โหลด FinSpy เข้าสู่กระบวนการ Winlogon

Trending

Loading...