BlackOasis APT
BlackOasis, Orta Doğu bölgesindeki belirli kurbanlara karşı yüksek düzeyde hedefli saldırılar gerçekleştiren Gelişmiş Kalıcı Tehdit (APT) hacker grubuna verilen addır. Grup, hedefli kimlik avı e-postaları oluşturmak ve araç setlerinin tehdit edici etkinliğini gizlemek için kullanılan belgeleri kandırmak için çağdaş haber döngüsündeki olayları kullanıyor. BlackOasis APT'nin hedefleri arasında BM temsilcileri, bölgesel haber muhabirleri, bölgesel kuruluşlar, uluslararası aktivistler ve düşünce kuruluşları bulunmaktadır. Tespit edilen kurbanların jeolojik yayılımı Rusya, Nijerya, Irak, Libya, Ürdün, Suudi Arabistan, İran, Bahreyn, Hollanda, Angola, Birleşik Krallık ve Afganistan'ı kapsamaktadır.
Bilgisayar korsanları, esas olarak Adobe Flash'ı etkileyen sıfırıncı gün güvenlik açıklarından yararlanma konusunda uzmanlaşmıştır. Şimdiye kadar, bilgi güvenliği araştırmacıları, beş farklı sıfır gün güvenlik açığından yararlanan BlakcOasis kampanyalarını gözlemledi:
- CVE-2015-5119 – Haziran 2015
- CVE-2016-0984 – Haziran 2015
- CVE-2016-4117 – Mayıs 2016
- CVE-2017-8759 – Eylül 2017
- CVE-2017-11292 – Ekim 2017
BlackOasis tarafından yapılan saldırılarda sağlanan son yük neredeyse her zaman FinSpy ailesinden olmuştur.
Karmaşık Saldırı Zinciri
BlackOasis APT, sofistike bir çok aşamalı saldırı zinciri kullanır. ' com.adobe.tvsdk.mediacore.BufferControlParameters ' sınıfında bulunan bir bellek bozulması güvenlik açığı olan CVE-2017-11292 güvenlik açığından yararlanan kampanyada , ilk dayanak, gömülü bir dosya içeren bozuk bir Office belgesinin dağıtımı yoluyla kuruldu. Flash istismarından yararlanan ActiveX nesnesi. Başarılı yürütmenin ardından, birinci aşama kabuk kodu, 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf' adresinde sabit kodlanmış bir adresle bağlantı kurar ve buradan ikinci aşama kabuk kodunu gönderir ve yürütür. Saldırının bu adımı sırasında, yürütülen kabuk kodu, gerçek kötü amaçlı yazılım yükü için bir damlalık görevi görür, ancak gerçekleştirmesi gereken tek görev bu değildir. Ayrıca, kullanıcıya gösterilecek olan sahte belgeyi de indirir.
Son FinSpy yükü, ' mo.exe ' adlı bir dosya olarak teslim edilir. ' Yürütüldüğünde, beş belirli konumda dosyalar oluşturur:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
Teslim edilen dosyalar arasında, 'AdapterTroubleshooter.exe', yine de DLL arama emri kaçırma tekniğinin bir parçası olarak kullanılan meşru bir ikili dosyadır. Öte yandan 'd3d9.dll' dosyası bozuktur ve yasal ikili tarafından yüklendikten sonra, Winlogon işlemine FinSpy yükünün enjekte edilmesinden sorumludur.
