BlackOasis APT
BlackOasis 是高級持續性威脅 (APT) 黑客組織的名稱,這些黑客組織針對來自中東地區的特定受害者進行高度針對性的攻擊。該組織利用當代新聞周期中的事件來製作魚叉式網絡釣魚電子郵件和誘餌文件,用於隱藏其工具包的威脅活動。 BlackOasis APT 的目標包括聯合國代表、區域新聞記者、區域實體、國際活動家和智囊團。檢測到的受害者的地質分佈跨越俄羅斯、尼日利亞、伊拉克、利比亞、約旦、沙特阿拉伯、伊朗、巴林、荷蘭、安哥拉、英國和阿富汗。
黑客專門利用零日漏洞,主要影響 Adobe Flash。到目前為止,信息安全研究人員已經觀察到 BlakcOasis 活動利用了五個不同的零日漏洞:
- CVE-2015-5119 – 2015 年 6 月
- CVE-2016-0984 – 2015 年 6 月
- CVE-2016-4117 – 2016 年 5 月
- CVE-2017-8759 – 2017 年 9 月
- CVE-2017-11292 – 2017 年 10 月
BlackOasis 攻擊中提供的最終有效載荷幾乎總是來自 FinSpy 系列。
複雜的攻擊鏈
BlackOasis APT 採用複雜的多階段攻擊鏈。在利用 CVE-2017-11292 漏洞(存在於" com.adobe.tvsdk.mediacore.BufferControlParameters "類中的內存損壞漏洞)的活動中,最初的立足點是通過分髮帶有嵌入內容的損壞的 Office 文檔建立的利用 Flash 漏洞的 ActiveX 對象。成功執行後,第一階段的 shellcode 會聯繫一個位於"hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf"的硬編碼地址,從那裡它傳遞並執行第二階段的 shellcode。在攻擊的這一步中,執行的 shell 代碼充當實際惡意軟件負載的投放器,但這並不是它必須執行的唯一任務。它還下載將顯示給用戶的誘餌文檔。
最終的FinSpy有效負載作為名為" mo.exe"的文件提供。 ' 執行時,它會在五個特定位置創建文件:
- C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
- C:\ProgramData\ManagerApp\15b937.cab
- C:\ProgramData\ManagerApp\install.cab
- C:\ProgramData\ManagerApp\msvcr90.dll
- C:\ProgramData\ManagerApp\d3d9.dll
在提供的文件中,"AdapterTroubleshooter.exe"是一個合法的二進製文件,但仍被用作 DLL 搜索順序劫持技術的一部分。另一方面,文件"d3d9.dll"已損壞,在被合法二進製文件加載後,負責將 FinSpy 負載注入 Winlogon 進程。
