BlackOasis APT

BlackOasis APT

BlackOasis là tên được đặt cho một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT) chuyên thực hiện các cuộc tấn công có chủ đích nhắm vào các nạn nhân cụ thể từ khu vực Trung Đông. Nhóm sử dụng các sự kiện từ chu kỳ tin tức hiện đại để tạo ra các email lừa đảo trực tuyến và các tài liệu giả mạo được sử dụng để che giấu hoạt động đe dọa trong bộ công cụ của họ. Trong số các mục tiêu của BlackOasis APT là các đại diện của Liên hợp quốc, phóng viên tin tức khu vực, các thực thể khu vực, các nhà hoạt động quốc tế và các tổ chức tư vấn. Phạm vi địa chất của các nạn nhân được phát hiện trải dài qua các quốc gia Nga, Nigeria, Iraq, Libya, Jordan, Ả Rập Saudi, Iran, Bahrain, Hà Lan, Angola, Anh và Afghanistan.

Các tin tặc chuyên khai thác các lỗ hổng zero-day, chủ yếu ảnh hưởng đến Adobe Flash. Cho đến nay, các nhà nghiên cứu infosec đã quan sát thấy các chiến dịch BlakcOasis tận dụng 5 lỗ hổng zero-day khác nhau:

  • CVE-2015-5119 - tháng 6 năm 2015
  • CVE-2016-0984 - tháng 6 năm 2015
  • CVE-2016-4117 - tháng 5 năm 2016
  • CVE-2017-8759 - Tháng 9 năm 2017
  • CVE-2017-11292 - Tháng 10 năm 2017

Trọng tải cuối cùng được giao trong các cuộc tấn công của BlackOasis hầu như luôn đến từ gia đình FinSpy.

Chuỗi tấn công phức tạp

BlackOasis APT sử dụng một chuỗi tấn công nhiều giai đoạn phức tạp. Trong chiến dịch khai thác lỗ hổng CVE-2017-11292 - lỗ hổng làm hỏng bộ nhớ tồn tại trong khóa ' com.adobe.tvsdk.mediacore.BufferControlParameters ', chỗ đứng ban đầu đã được thiết lập thông qua việc phân phối tài liệu Office bị hỏng có chứa nội dung nhúng Đối tượng ActiveX tận dụng khai thác Flash. Sau khi thực thi thành công, shellcode giai đoạn đầu tiên liên hệ với một địa chỉ được mã hóa cứng tại 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' mà từ đó nó phân phối và thực thi shellcode giai đoạn thứ hai. Trong bước này của cuộc tấn công, mã shell được thực thi hoạt động như một ống nhỏ giọt cho tải trọng phần mềm độc hại thực tế, nhưng đó không phải là nhiệm vụ duy nhất mà nó phải thực hiện. Nó cũng tải xuống tài liệu mồi nhử sẽ được hiển thị cho người dùng.

Tải trọng FinSpy cuối cùng được phân phối dưới dạng tệp có tên ' mo.exe. 'Khi được thực thi, nó tạo ra các tệp ở năm vị trí cụ thể:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Trong số các tệp đã phân phối, 'AdapterTroubleshooter.exe' là một tệp nhị phân hợp pháp vẫn được khai thác như một phần của kỹ thuật chiếm quyền điều khiển tìm kiếm DLL. Mặt khác, tệp 'd3d9.dll' bị hỏng và sau khi được tải bởi tệp nhị phân hợp pháp, có trách nhiệm đưa tải trọng FinSpy vào quy trình Winlogon.

Loading...