BlackOasis APT

BlackOasis — це назва групи хакерів Advanced Persistent Threat (APT), яка здійснює високоцільові атаки на конкретних жертв із близькосхідного регіону. Група використовує події з сучасного циклу новин, щоб створити фішингові електронні листи та документи-приманки, які використовуються для приховування загрозливої діяльності їхнього набору інструментів. Серед об’єктів BlackOasis APT – представники ООН, регіональні кореспонденти новин, регіональні організації, міжнародні активісти та аналітичні центри. Геологічне поширення виявлених жертв охоплює країни Росії, Нігерії, Іраку, Лівії, Йорданії, Саудівської Аравії, Ірану, Бахрейну, Нідерландів, Анголи, Великобританії та Афганістану.

Хакери спеціалізуються на використанні вразливостей нульового дня, в основному впливаючи на Adobe Flash. Наразі дослідники Infosec спостерігали, як кампанії BlakcOasis використовують п’ять різних уразливостей нульового дня:

• CVE-2015-5119 – червень 2015 року
• CVE-2016-0984 – червень 2015 року
• CVE-2016-4117 – травень 2016 року
• CVE-2017-8759 – вересень 2017 року
• CVE-2017-11292 – жовтень 2017 року

Остаточне корисне навантаження, доставлене під час атак BlackOasis, майже завжди було від сімейства FinSpy.

Комплексний ланцюг атаки

BlackOasis APT використовує складну багатоетапну ланцюжок атак. Під час кампанії, яка використовує уразливість CVE-2017-11292 – уразливість до пошкодження пам’яті, яка існує в класі com.adobe.tvsdk.mediacore.BufferControlParameters , початкова опора була створена шляхом розповсюдження пошкодженого документа Office, який містить вбудовану Об’єкт ActiveX, який використовує експлойт Flash. Після успішного виконання шелл-код першого етапу зв'язується з жорстко закодованою адресою за адресою 'hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf', з якої він доставляє та виконує шелл-код другого етапу. Під час цього етапу атаки виконуваний шелл-код діє як дроппер для фактичного корисного навантаження шкідливого програмного забезпечення, але це не єдине завдання, яке він повинен виконувати. Він також завантажує документ-приманку, який буде відображатися користувачеві.

Остаточне корисне навантаження FinSpy доставляється у вигляді файлу з іменем ' mo.exe. ' Після виконання він створює файли в п'яти певних місцях:

• C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
• C:\ProgramData\ManagerApp\15b937.cab
• C:\ProgramData\ManagerApp\install.cab
• C:\ProgramData\ManagerApp\msvcr90.dll
• C:\ProgramData\ManagerApp\d3d9.dll

Серед доставлених файлів «AdapterTroubleshooter.exe» є законним двійковим файлом, який, тим не менш, використовується як частина техніки викрадення порядку пошуку DLL. З іншого боку, файл 'd3d9.dll' пошкоджений і після завантаження законним двійковим файлом відповідає за введення корисного навантаження FinSpy в процес Winlogon.