BlackOasis APT

BlackOasis APT

BlackOasis ist der Name einer Advanced Persistent Threat (APT) Gruppe von Hackern, die gezielte Angriffe gegen bestimmte Opfer aus dem Nahen Osten ausführen. Die Gruppe verwendet Ereignisse aus dem aktuellen Nachrichtenzyklus, um Spear-Phishing-E-Mails und Täuschungsdokumente zu erstellen, mit denen die bedrohliche Aktivität ihres Toolkits verborgen wird. Zu den Zielen von BlackOasis APT zählen UN-Vertreter, regionale Nachrichtenkorrespondenten, regionale Einheiten, internationale Aktivisten und Think Tanks. Die geologische Verbreitung der entdeckten Opfer erstreckt sich über die Länder Russland, Nigeria, Irak, Libyen, Jordanien, Saudi-Arabien, Iran, Bahrain, Niederlande, Angola, Großbritannien und Afghanistan.

Die Hacker sind auf die Ausnutzung von Zero-Day-Schwachstellen spezialisiert, die hauptsächlich Adobe Flash betreffen. Bisher haben Infosec-Forscher beobachtet, dass BlakcOasis-Kampagnen fünf verschiedene Zero-Day-Schwachstellen ausnutzen:

  • CVE-2015-5119 - Juni 2015
  • CVE-2016-0984 - Juni 2015
  • CVE-2016-4117 - Mai 2016
  • CVE-2017-8759 - September 2017
  • CVE-2017-11292 - Oktober 2017

Die letzte Nutzlast, die bei den Angriffen von BlackOasis geliefert wurde, stammte fast immer aus der FinSpy-Familie.

Komplexe Angriffskette

BlackOasis APT verwendet eine ausgeklügelte mehrstufige Angriffskette. In der Kampagne, die die Sicherheitsanfälligkeit CVE-2017-11292 ausnutzt - eine Sicherheitsanfälligkeit bezüglich Speicherbeschädigung, die in den Klassen 'com.adobe.tvsdk.mediacore.BufferControlParameters' vorhanden ist, wurde der erste Schritt durch die Verteilung eines beschädigten Office-Dokuments mit einem eingebetteten ActiveX-Objekt, das den Flash-Exploit nutzt. Nach erfolgreicher Ausführung kontaktiert der Shellcode der ersten Stufe eine fest codierte Adresse unter 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf', von der er einen Shellcode der zweiten Stufe liefert und ausführt. Während dieses Angriffsschritts fungiert der ausgeführte Shell-Code als Dropper für die tatsächliche Malware-Nutzlast. Dies ist jedoch nicht die einzige Aufgabe, die ausgeführt werden muss. Außerdem wird das Täuschungsdokument heruntergeladen, das dem Benutzer angezeigt wird.

Die endgültige FinSpy- Nutzlast wird als Datei mit dem Namen ' mo.exe ' geliefert. Bei der Ausführung werden Dateien an fünf bestimmten Speicherorten erstellt:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Unter den gelieferten Dateien ist 'AdapterTroubleshooter.exe' eine legitime Binärdatei, die dennoch als Teil einer DLL-Suchreihenfolge-Hijacking-Technik ausgenutzt wird. Die Datei 'd3d9.dll' ist dagegen beschädigt und nach dem Laden durch die legitime Binärdatei für das Einfügen der FinSpy-Nutzdaten in den Winlogon-Prozess verantwortlich.

Im Trend

Wird geladen...