Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) BlackOasis APT

BlackOasis APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

BlackOasis là tên được đặt cho một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT) chuyên thực hiện các cuộc tấn công có chủ đích nhắm vào các nạn nhân cụ thể từ khu vực Trung Đông. Nhóm sử dụng các sự kiện từ chu kỳ tin tức hiện đại để tạo ra các email lừa đảo trực tuyến và các tài liệu giả mạo được sử dụng để che giấu hoạt động đe dọa trong bộ công cụ của họ. Trong số các mục tiêu của BlackOasis APT là các đại diện của Liên hợp quốc, phóng viên tin tức khu vực, các thực thể khu vực, các nhà hoạt động quốc tế và các tổ chức tư vấn. Phạm vi địa chất của các nạn nhân được phát hiện trải dài qua các quốc gia Nga, Nigeria, Iraq, Libya, Jordan, Ả Rập Saudi, Iran, Bahrain, Hà Lan, Angola, Anh và Afghanistan.

Các tin tặc chuyên khai thác các lỗ hổng zero-day, chủ yếu ảnh hưởng đến Adobe Flash. Cho đến nay, các nhà nghiên cứu infosec đã quan sát thấy các chiến dịch BlakcOasis tận dụng 5 lỗ hổng zero-day khác nhau:

  • CVE-2015-5119 - tháng 6 năm 2015
  • CVE-2016-0984 - tháng 6 năm 2015
  • CVE-2016-4117 - tháng 5 năm 2016
  • CVE-2017-8759 - Tháng 9 năm 2017
  • CVE-2017-11292 - Tháng 10 năm 2017

Trọng tải cuối cùng được giao trong các cuộc tấn công của BlackOasis hầu như luôn đến từ gia đình FinSpy.

Chuỗi tấn công phức tạp

BlackOasis APT sử dụng một chuỗi tấn công nhiều giai đoạn phức tạp. Trong chiến dịch khai thác lỗ hổng CVE-2017-11292 - lỗ hổng làm hỏng bộ nhớ tồn tại trong khóa ' com.adobe.tvsdk.mediacore.BufferControlParameters ', chỗ đứng ban đầu đã được thiết lập thông qua việc phân phối tài liệu Office bị hỏng có chứa nội dung nhúng Đối tượng ActiveX tận dụng khai thác Flash. Sau khi thực thi thành công, shellcode giai đoạn đầu tiên liên hệ với một địa chỉ được mã hóa cứng tại 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' mà từ đó nó phân phối và thực thi shellcode giai đoạn thứ hai. Trong bước này của cuộc tấn công, mã shell được thực thi hoạt động như một ống nhỏ giọt cho tải trọng phần mềm độc hại thực tế, nhưng đó không phải là nhiệm vụ duy nhất mà nó phải thực hiện. Nó cũng tải xuống tài liệu mồi nhử sẽ được hiển thị cho người dùng.

Tải trọng FinSpy cuối cùng được phân phối dưới dạng tệp có tên ' mo.exe. 'Khi được thực thi, nó tạo ra các tệp ở năm vị trí cụ thể:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Trong số các tệp đã phân phối, 'AdapterTroubleshooter.exe' là một tệp nhị phân hợp pháp vẫn được khai thác như một phần của kỹ thuật chiếm quyền điều khiển tìm kiếm DLL. Mặt khác, tệp 'd3d9.dll' bị hỏng và sau khi được tải bởi tệp nhị phân hợp pháp, có trách nhiệm đưa tải trọng FinSpy vào quy trình Winlogon.

xu hướng

Lừa đảo qua email 'YouPorn'

Spam
Sau khi kiểm tra kỹ lưỡng các email 'YouPorn', các chuyên gia an ninh mạng đã xác nhận bản chất lừa đảo của chúng. Những email này là một phần của nhiều biến thể thư rác khác nhau, tất cả đều giống với các chiến thuật phân tích sextortion. Chủ đề chung trong số các email lừa đảo này là khẳng định bịa đặt rằng người nhận có liên quan đến tài liệu khiêu dâm được đăng gần đây trên trang...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
14,963
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...