BlackOasis APT

BlackOasis APT Paglalarawan

Ang BlackOasis ay ang pangalan na ibinigay sa isang Advanced Persistent Threat (APT) na pangkat ng mga hacker na naghahatid ng mga pag-atake na mataas ang target laban sa mga partikular na biktima mula sa rehiyon ng Middle Eastern. Gumagamit ang grupo ng mga kaganapan mula sa kontemporaryong ikot ng balita upang gumawa ng mga spear-phishing na email at mga dokumentong pang-decoy na ginagamit upang itago ang nagbabantang aktibidad ng kanilang toolkit. Kabilang sa mga target ng BlackOasis APT ay ang mga kinatawan ng UN, regional news correspondent, regional entity, international activists, at think tank. Ang geological na pagkalat ng mga natukoy na biktima ay sumasaklaw sa mga bansang Russia, Nigeria, Iraq, Libya, Jordan, Saudi Arabia, Iran, Bahrain, Netherlands, Angola, UK at Afghanistan.

Ang mga hacker ay dalubhasa sa pagsasamantala sa mga zero-day na kahinaan, na pangunahing nakakaapekto sa Adobe Flash. Sa ngayon, naobserbahan ng mga mananaliksik ng infosec ang mga kampanyang BlakcOasis na sinasamantala ang limang magkakaibang kahinaan sa zero-day:

  • CVE-2015-5119 – Hunyo 2015
  • CVE-2016-0984 – Hunyo 2015
  • CVE-2016-4117 – Mayo 2016
  • CVE-2017-8759 – Set 2017
  • CVE-2017-11292 – Okt 2017

Ang huling kargamento na inihatid sa mga pag-atake ng BlackOasis ay halos palaging mula sa pamilyang FinSpy.

Complex Attack Chain

Gumagamit ang BlackOasis APT ng isang sopistikadong multi-stage attack chain. Sa kampanyang nagsasamantala sa kahinaan ng CVE-2017-11292 - isang kahinaan sa katiwalian ng memorya na umiiral sa mga klase ng ' com.adobe.tvsdk.mediacore.BufferControlParameters ', ang unang foothold ay naitatag sa pamamagitan ng pamamahagi ng isang sirang dokumento ng Office na naglalaman ng naka-embed ActiveX object na gumagamit ng Flash exploit. Sa matagumpay na pagpapatupad, ang unang yugto ng shellcode ay nakikipag-ugnayan sa isang hardcoded na address sa 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' kung saan ito naghahatid at nagpapatupad ng pangalawang yugto ng shellcode. Sa hakbang na ito ng pag-atake, ang naisagawang shell code ay nagsisilbing dropper para sa aktwal na kargamento ng malware, ngunit hindi lang iyon ang gawain na dapat nitong gampanan. Dina-download din nito ang dokumento ng decoy na ipapakita sa user.

Ang huling FinSpy payload ay inihahatid bilang isang file na pinangalanang ' mo.exe. ' Kapag naisakatuparan, lumilikha ito ng mga file sa limang partikular na lokasyon:

  • C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
  • C:\ProgramData\ManagerApp\15b937.cab
  • C:\ProgramData\ManagerApp\install.cab
  • C:\ProgramData\ManagerApp\msvcr90.dll
  • C:\ProgramData\ManagerApp\d3d9.dll

Kabilang sa mga naihatid na file, ang 'AdapterTroubleshooter.exe' ay isang lehitimong binary na gayunpaman ay pinagsamantalahan bilang bahagi ng isang DLL search order hijacking technique. Ang file na 'd3d9.dll,' sa kabilang banda, ay sira at, pagkatapos ma-load ng legit na binary, ay responsable para sa pag-inject ng FinSpy payload sa proseso ng Winlogon.