BlackOasis APT
BlackOasisは、中東地域の特定の被害者に対して標的を絞った攻撃を行うハッカーのAdvanced Persistent Threat(APT)グループに付けられた名前です。このグループは、現代のニュースサイクルのイベントを使用して、ツールキットの脅威的な活動を隠すために使用されるスピアフィッシングメールやおとり文書を作成します。 BlackOasis APTのターゲットには、国連代表、地域ニュース特派員、地域団体、国際活動家、シンクタンクが含まれます。検出された犠牲者の地質学的広がりは、ロシア、ナイジェリア、イラク、リビア、ヨルダン、サウジアラビア、イラン、バーレーン、オランダ、アンゴラ、英国、アフガニスタンにまたがっています。
ハッカーは、主にAdobe Flashに影響を与える、ゼロデイ脆弱性の悪用を専門としています。これまでのところ、infosecの研究者は、5つの異なるゼロデイ脆弱性を利用したBlakcOasisキャンペーンを観察しています。
- CVE-2015-5119 – 2015年6月
- CVE-2016-0984 – 2015年6月
- CVE-2016-4117 – 2016年5月
- CVE-2017-8759 – 2017年9月
- CVE-2017-11292 – 2017年10月
BlackOasisによる攻撃で配信される最終的なペイロードは、ほとんどの場合FinSpyファミリーからのものです。
複雑な攻撃チェーン
BlackOasis APTは、洗練された多段階攻撃チェーンを採用しています。 CVE-2017-11292の脆弱性( 'com.adobe.tvsdk.mediacore.BufferControlParameters 'クラスに存在するメモリ破損の脆弱性)を悪用するキャンペーンでは、埋め込みを含む破損したOfficeドキュメントの配布を通じて最初の足掛かりが確立されましたFlashエクスプロイトを活用するActiveXオブジェクト。実行が成功すると、第1段階のシェルコードは「hxxp://89.45.67 [。] 107 / rss / 5uzosoff0u.iaf」のハードコードされたアドレスに接続し、そこから第2段階のシェルコードを配信して実行します。攻撃のこのステップでは、実行されたシェルコードが実際のマルウェアペイロードのスポイトとして機能しますが、実行する必要のあるタスクはそれだけではありません。また、ユーザーに表示されるおとりドキュメントをダウンロードします。
最終的なFinSpyペイロードは、 'mo.exeという名前のファイルとして配信されます。 '実行すると、5つの特定の場所にファイルが作成されます。
- C:\ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
- C:\ ProgramData \ ManagerApp \ 15b937.cab
- C:\ ProgramData \ ManagerApp \ install.cab
- C:\ ProgramData \ ManagerApp \ msvcr90.dll
- C:\ ProgramData \ ManagerApp \ d3d9.dll
配信されたファイルの中で、「AdapterTroubleshooter.exe」は正当なバイナリですが、DLL検索順序の乗っ取り技術の一部として悪用されています。一方、ファイル「d3d9.dll」は破損しており、正当なバイナリによってロードされた後、FinSpyペイロードをWinlogonプロセスに挿入する役割を果たします。
