BlackOasis APT
BlackOasis 是高级持续性威胁 (APT) 黑客组织的名称,这些黑客组织针对来自中东地区的特定受害者进行高度针对性的攻击。该组织利用当代新闻周期中的事件来制作鱼叉式网络钓鱼电子邮件和诱饵文件,用于隐藏其工具包的威胁活动。 BlackOasis APT 的目标包括联合国代表、区域新闻记者、区域实体、国际活动家和智囊团。检测到的受害者的地质分布跨越俄罗斯、尼日利亚、伊拉克、利比亚、约旦、沙特阿拉伯、伊朗、巴林、荷兰、安哥拉、英国和阿富汗。
黑客专门利用零日漏洞,主要影响 Adobe Flash。到目前为止,信息安全研究人员已经观察到 BlakcOasis 活动利用了五个不同的零日漏洞:
- CVE-2015-5119 – 2015 年 6 月
- CVE-2016-0984 – 2015 年 6 月
- CVE-2016-4117 – 2016 年 5 月
- CVE-2017-8759 – 2017 年 9 月
- CVE-2017-11292 – 2017 年 10 月
BlackOasis 攻击中提供的最终有效载荷几乎总是来自 FinSpy 系列。
复杂的攻击链
BlackOasis APT 采用复杂的多阶段攻击链。在利用 CVE-2017-11292 漏洞(存在于" com.adobe.tvsdk.mediacore.BufferControlParameters "类中的内存损坏漏洞)的活动中,最初的立足点是通过分发带有嵌入内容的损坏的 Office 文档建立的利用 Flash 漏洞的 ActiveX 对象。成功执行后,第一阶段的 shellcode 会联系一个位于"hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf"的硬编码地址,从那里它传递并执行第二阶段的 shellcode。在攻击的这一步中,执行的 shell 代码充当实际恶意软件负载的投放器,但这并不是它必须执行的唯一任务。它还下载将显示给用户的诱饵文档。
最终的FinSpy有效负载作为名为" mo.exe"的文件提供。 ' 执行时,它会在五个特定位置创建文件:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
在提供的文件中,"AdapterTroubleshooter.exe"是一个合法的二进制文件,但仍被用作 DLL 搜索顺序劫持技术的一部分。另一方面,文件"d3d9.dll"已损坏,在被合法二进制文件加载后,负责将 FinSpy 有效负载注入 Winlogon 进程。
