APT BlackOasis

APT BlackOasis Descripción

BlackOasis es el nombre que se le da a un grupo de hackers de amenazas persistentes avanzadas (APT) que realizan ataques altamente dirigidos contra víctimas específicas de la región del Medio Oriente. El grupo utiliza eventos del ciclo de noticias contemporáneo para crear correos electrónicos de phishing y documentos de señuelo utilizados para ocultar la actividad amenazante de su conjunto de herramientas. Entre los objetivos de BlackOasis APT se encuentran representantes de la ONU, corresponsales regionales de noticias, entidades regionales, activistas internacionales y grupos de expertos. La propagación geológica de las víctimas detectadas abarca los países de Rusia, Nigeria, Irak, Libia, Jordania, Arabia Saudita, Irán, Bahréin, Países Bajos, Angola, Reino Unido y Afganistán.

Los piratas informáticos se especializan en la explotación de vulnerabilidades de día cero, que afectan principalmente a Adobe Flash. Hasta ahora, los investigadores de infosec han observado que las campañas de BlakcOasis se aprovechan de cinco vulnerabilidades de día cero diferentes:

  • CVE-2015-5119: junio de 2015
  • CVE-2016-0984: junio de 2015
  • CVE-2016-4117 - Mayo de 2016
  • CVE-2017-8759: septiembre de 2017
  • CVE-2017-11292 - Octubre de 2017

La carga útil final entregada en los ataques de BlackOasis casi siempre ha sido de la familia FinSpy.

Cadena de ataque compleja

BlackOasis APT emplea una sofisticada cadena de ataque de múltiples etapas. En la campaña que explota la vulnerabilidad CVE-2017-11292, una vulnerabilidad de corrupción de memoria que existe en la clase ' com.adobe.tvsdk.mediacore.BufferControlParameters ', el punto de apoyo inicial se estableció a través de la distribución de un documento de Office dañado que contenía un incrustado Objeto ActiveX que aprovecha el exploit de Flash. Tras una ejecución exitosa, el shellcode de la primera etapa contacta con una dirección codificada en 'hxxp: //89.45.67 [.] 107 / rss / 5uzosoff0u.iaf' desde la cual entrega y ejecuta un shellcode de la segunda etapa. Durante este paso del ataque, el código de shell ejecutado actúa como un cuentagotas para la carga útil del malware real, pero esa no es la única tarea que debe realizar. También descarga el documento señuelo que se mostrará al usuario.

La carga útil final de FinSpy se entrega como un archivo llamado ' mo.exe. Cuando se ejecuta, crea archivos en cinco ubicaciones específicas:

  • C: \ ProgramData \ ManagerApp \ AdapterTroubleshooter.exe
  • C: \ ProgramData \ ManagerApp \ 15b937.cab
  • C: \ ProgramData \ ManagerApp \ install.cab
  • C: \ ProgramData \ ManagerApp \ msvcr90.dll
  • C: \ ProgramData \ ManagerApp \ d3d9.dll

Entre los archivos entregados, 'AdapterTroubleshooter.exe' es un binario legítimo que, no obstante, se explota como parte de una técnica de secuestro de órdenes de búsqueda de DLL. El archivo 'd3d9.dll', por otro lado, está dañado y, después de ser cargado por el binario legítimo, es responsable de inyectar la carga útil de FinSpy en el proceso de Winlogon.