# BlackOasis > **BlackOasis** é um grupo de ameaças do Oriente Médio caracterizado como **cliente governamental do Gamma Group** (fabricante do FinSpy/FinFisher), utilizando spyware comercial de grau governamental combinado com múltiplos **zero-days** para espionar figuras da ONU, jornalistas, ativistas de oposição e think tanks. O grupo é rastreado pela Microsoft como **NEODYMIUM** (G0055), com sobreposição significativa de operações. --- ## Visão Geral | Campo | Valor | |-------|-------| | **Origem** | Oriente Médio (governo cliente da Gamma Group) | | **Período Ativo** | Junho 2015 – 2018 (reportado) | | **Descoberta** | Kaspersky Lab (2015, 2017); FireEye (setembro 2017) | | **Malware Principal** | FinSpy/FinFisher (G2G - governo para governo) | | **Zero-Days Usados** | Pelo menos 5 desde 2015 | | **Alias Microsoft** | NEODYMIUM (G0055) | | **Motivação** | Espionagem política - vigilância internacional de opositores | --- ## Atribuição BlackOasis é avaliado como um **governo do Oriente Médio** operando como cliente da **Gamma Group** (também conhecida como FinFisher ou Lench IT Solutions) - empresa alemã/britânica acusada de vender spyware a regimes autoritários para rastreamento de dissidentes: - **Evidência**: Uso de FinSpy - disponível apenas para clientes governamentais pagantes da Gamma Group - **Distinção**: Ao contrário de clientes FinFisher típicos (foco doméstico), BlackOasis demonstra **foco internacional** - rastreando ativistas além de fronteiras - **Atribuição específica**: Múltiplos pesquisadores especulam ligação com **Arábia Saudita** com base em interesse em Angola (conflitos de influência energética), mas não confirmado públicamente - **Microsoft NEODYMIUM**: 80%+ das vítimas NEODYMIUM identificadas na Turquia (2016) - possível cliente turco ou operação com alvo turco --- ## Arsenal: FinSpy/FinFisher O [[s0182-finfisher|finspy]] (também chamado Wingbird na nomenclatura Microsoft) é um **spyware comercial de grau governamental**: ### Capacidades do FinSpy - **Interceptação de comúnicações**: Email, chamadas VoIP (Skype, WhatsApp), mensagens - **Vigilância em tempo real**: Screenshots, keylogging, acesso a webcam/microfone - **Mobile**: Versões para iOS e Android com acesso a SMS, localização GPS, contatos - **Exfiltração**: Upload contínuo para servidores C2 controlados pelo operador - **Ocultação**: Quatro camadas de ofuscação em amostras mais recentes ### Infraestrutura de Entrega BlackOasis entregou o FinSpy via: 1. **Documentos Office maliciosos** (Word/RTF) com objetos ActiveX/Flash embutidos 2. **Links de phishing** levando a páginas de exploração 3. **Explorações zero-day** como vetor de execução inicial - sem interação do usuário além de abrir o documento --- ## Zero-Days Explorados BlackOasis utilizou pelo menos **cinco vulnerabilidades zero-day** desde 2015 - ritmo incomum mesmo para atores de nível estado: | CVE | Tipo | Data | Vendor | Contexto | |-----|------|------|--------|---------| | CVE-2015-5119 | Flash RCE | Jun 2015 | Adobe | Primeira campanha documentada | | CVE-2016-0984 | Flash RCE | Jun 2015 | Adobe | Cadeia de exploração | | CVE-2016-4117 | Flash Player | Mai 2016 | Adobe | Campanha Angola | | **CVE-2017-8759** | .NET RCE (SOAP WSDL parser em RTF) | Set 2017 | Microsoft | Detectado pela FireEye; primeiro uso público | | **CVE-2017-11292** | Flash type confusion RCE | Out 2017 | Adobe | C2 compartilhado com CVE-2017-8759 confirma mesmo ator | | **CVE-2017-0199** | HTA handler RCE | 2017 | Microsoft | Integrado em cadeias de infecção FinSpy | > O uso de **CVE-2017-8759** por BlackOasis foi a **primeira exploração pública documentada** desta vulnerabilidade .NET - a FireEye reportou a descoberta em setembro de 2017 diretamente ao Microsoft antes do patch. --- ## Campanhas Documentadas ### Campanha Angola (Maio 2016) - **Contexto geopolítico**: Conflitos de influência energética Saudi-China em Angola - **Alvo**: Figuras ligadas à política angolana e relações sino-angolanas - **Método**: Flash zero-day CVE-2016-4117 via documentos Office - **Lure**: Documentos sobre relações Angola-China e lavagem de dinheiro ### Campanha de Setembro/Outubro 2017 - **Setembro**: Exploração de CVE-2017-8759 via documento RTF com SOAP WSDL malicioso - **Outubro**: Exploração de CVE-2017-11292 (Flash) em documentos Office - **Confirmação**: Infraestrutura de C2 **compartilhada** entre ambas as campanhas confirma o mesmo ator - **Alvo**: Figuras internacionais da ONU, ativistas e jornalistas cobrindo o Oriente Médio --- ## Alvos e Victimologia BlackOasis demonstra interesse em **figuras de alto perfil** ligadas à política e segurança do Oriente Médio: **Categorias de alvos:** - Figuras proeminentes das Nações Unidas - Bloggers e ativistas de oposição - Jornalistas e correspondentes regionais - Think tanks focados em Oriente Médio e segurança - ONGs de direitos humanos com trabalho na região **Distribuição geográfica de vítimas:** Angola, Rússia, Iraque, Afeganistão, Nigéria, Líbia, Jordânia, Tunísia, Arábia Saudita, Irã, Países Baixos, Bahrein, Reino Unido --- ## Relação com NEODYMIUM (Microsoft) A Microsoft rastreia operações sobrepostas como **NEODYMIUM (G0055)**: | Aspecto | BlackOasis (Kaspersky) | NEODYMIUM (Microsoft) | |---------|------------------------|----------------------| | **Malware** | FinSpy | Wingbird (variante FinFisher) | | **Método** | Exploits zero-day + phishing | Spear-phishing | | **Foco geográfico** | Internacional (multi-região) | Turquia (80%+ vítimas) | | **Descoberta** | 2015–2017 | 2016 | | **Status alias** | Não confirmado como alias | Não confirmado como idêntico | > MITRE mantém G0063 (BlackOasis) e G0055 (NEODYMIUM) como grupos separados mas "closely associated". A sobreposição inclui uso do mesmo malware base (FinFisher) e infraestrutura compartilhada em alguns casos. --- ## Técnicas de Obfuscação e Evasão BlackOasis empregou técnicas sofisticadas de evasão: - **NOP sleds**: Shellcode de primeiro estágio com preenchimento NOP para evadir análise de AV - **Quatro camadas de obfuscação**: Amostras mais recentes (2017) aninhavam ofuscadores múltiplos - **Documentos legítimos como cover**: Após exploração, documento legítimo era exibido ao usuário para não gerar suspeita - **C2 compartilhado entre campanhas**: Infraestrutura reutilizada sugere confiança operacional (não descartam detecção) --- ## Attack Flow ```mermaid graph TB A["🎯 Spear-phishing<br/>Documento Office<br/>+ zero-day"] --> B["💥 Exploração Zero-Day<br/>Adobe Flash / .NET RCE<br/>CVE-2017-8759"] B --> C["🔓 Entrega FinSpy<br/>Shellcode, 4 camadas<br/>obfuscação"] C --> D["📊 Vigilância em Tempo Real<br/>Keylogging, screenshots,<br/>webcam/microfone"] D --> E["🔐 Acesso Mobile<br/>iOS/Android FinSpy<br/>SMS, localização GPS"] E --> F["📤 Exfiltração Contínua<br/>Credenciais, mensagens<br/>dados sensíveis"] style A fill:#e74c3c,color:#fff style B fill:#c0392b,color:#fff style C fill:#f39c12,color:#fff style D fill:#8e44ad,color:#fff style E fill:#3498db,color:#fff style F fill:#27ae60,color:#fff ``` ## Relevância CTI ### Por que monitorar em 2026? Embora BlackOasis sejá considerado inativo (última atividade confirmada 2018): 1. **Modelo de ataque replicável**: Espyware G2G combinado com zero-days é modelo usado por atores como [[nso-group]] (Pegasus), [[candiru]] e outros - avaliar como padrão arquetípico 2. **FinSpy ainda ativo**: Variantes do FinFisher continuam sendo detectadas em 2023–2024 em mãos de diferentes clientes governamentais 3. **Zero-days Adobe Flash**: Embora Flash sejá obsoleto, o padrão de exploração de zero-days em software amplamente instalado (Office, PDF) é permanente 4. **Modelo de mercado de spyware**: BlackOasis representa o mercado de "Spyware as a Service" governamental que inclui hoje NSO Group, Candiru, Intellexa/Predator --- ## Referências - [Kaspersky - BlackOasis APT and new targeted attacks leveraging zero-day (2017)](https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/) - [FireEye - CVE-2017-8759: Zero-Day Used in the Wild (2017)](https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html) - [MITRE ATT&CK - G0063](https://attack.mitre.org/groups/G0063/) - [Microsoft - NEODYMIUM (G0055)](https://attack.mitre.org/groups/G0055/) - Relacionado: [[g0055-neodymium]], [[s0182-finfisher|FinSpy]], [[nso-group]], [[cve-2017-8759|CVE-2017-8759]], [[cve-2017-11292|CVE-2017-11292]] ## Relevância para o Brasil e LATAM BlackOasis é um ator de espionagem governamental do Oriente Médio (presumivelmente cliente governamental da Gamma Group) com risco baixo direto para Brasil, mas modelo arquetípico relevante: ator de nível estado usando spyware comercial (FinSpy) combinado com zero-days para vigilância política internacional. O padrão de ataque - exploração de documentos Office com zero-days Adobe/Microsoft - replica método de ameaças regionais. Jornalistas, ativistas políticos, ONGs de direitos humanos e pesquisadores de segurança brasileiros devem manter vigilância sobre phishing sofisticado com iscas geopoliticamente relevantes. A disponibilidade contínua de variantes FinFisher em mercado de spyware comercial (2023–2024) em mãos de diferentes governos potencialmente interessados em LATAM justifica monitoramento como indicador de possível espionagem direcionada. --- updated: 2026-03-26 enriched: true