BlackOasis APT

BlackOasis APT

BlackOasis est le nom donné à un groupe de pirates informatiques Advanced Persistent Threat (APT) qui lancent des attaques hautement ciblées contre des victimes spécifiques de la région du Moyen-Orient. Le groupe utilise des événements du cycle de l'actualité contemporaine pour créer des e-mails de spear-phishing et des documents leurres utilisés pour masquer l'activité menaçante de leur boîte à outils. Parmi les cibles de BlackOasis APT figurent des représentants de l'ONU, des correspondants régionaux de nouvelles, des entités régionales, des militants internationaux et des groupes de réflexion. La propagation géologique des victimes détectées couvre les pays de la Russie, du Nigéria, de l'Irak, de la Libye, de la Jordanie, de l'Arabie saoudite, de l'Iran, du Bahreïn, des Pays-Bas, de l'Angola, du Royaume-Uni et de l'Afghanistan.

Les hackers se spécialisent dans l'exploitation de vulnérabilités zero-day, affectant principalement Adobe Flash. Jusqu'à présent, les chercheurs d'Infosec ont observé des campagnes BlakcOasis tirant parti de cinq vulnérabilités zero-day différentes:

  • CVE-2015-5119 - Juin 2015
  • CVE-2016-0984 - Juin 2015
  • CVE-2016-4117 - mai 2016
  • CVE-2017-8759 - Sept 2017
  • CVE-2017-11292 - octobre 2017

La charge utile finale livrée lors des attaques par BlackOasis a presque toujours été de la famille FinSpy.

Chaîne d'attaque complexe

BlackOasis APT utilise une chaîne d'attaque sophistiquée en plusieurs étapes. Dans la campagne exploitant la vulnérabilité CVE-2017-11292 - une vulnérabilité de corruption de mémoire qui existe dans la classe ' com.adobe.tvsdk.mediacore.BufferControlParameters ', le point d' ancrage initial a été établi grâce à la distribution d'un document Office corrompu contenant un Objet ActiveX exploitant l'exploit Flash. Une fois l'exécution réussie, le shellcode de premier étage contacte une adresse codée en dur à 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' à partir de laquelle il délivre et exécute un shellcode de deuxième étage. Au cours de cette étape de l'attaque, le code shell exécuté agit comme un compte-gouttes pour la charge utile réelle du malware, mais ce n'est pas la seule tâche qu'il doit effectuer. Il télécharge également le document leurre qui sera affiché à l'utilisateur.

La charge utile FinSpy finale est fournie sous la forme d'un fichier nommé « mo.exe. 'Lorsqu'il est exécuté, il crée des fichiers dans cinq emplacements spécifiques:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Parmi les fichiers livrés, «AdapterTroubleshooter.exe» est un binaire légitime qui est néanmoins exploité dans le cadre d'une technique de détournement d'ordre de recherche de DLL. Le fichier «d3d9.dll», d'autre part, est corrompu et, après avoir été chargé par le binaire légitime, est responsable de l'injection de la charge utile FinSpy dans le processus Winlogon.

Tendance

Chargement...