Holy Water APT

Holy Water APT هو الاسم الذي يطلق على مجموعة من مجرمي الإنترنت الذين نفذوا سلسلة من الهجمات من نوع ثقب المياه ضد مجموعة دينية وعرقية آسيوية. لا يمكن أن يُنسب أسلوب TTP (التكتيكات والتقنيات والإجراءات) لهذا الهجوم بالذات إلى أي من الفاعلين المعروفين بالفعل في ATP (التهديد المستمر المتقدم) ، مما أدى بالباحثين إلى استنتاج مفاده أن هذه مجموعة جديدة من المجرمين السيبرانيين تعرض خصائص فريق صغير ومرن من المتسللين.

لتنفيذ هجوم حفرة المياه ، يستهدف المجرمون العديد من المواقع التي تزورها الأهداف المحددة بشكل متكرر. يمكن أن تنتمي المواقع إلى منظمات أو جمعيات خيرية أو أفراد مؤثرين ينتمون إلى المجموعة المستهدفة. تمت استضافة جميع المواقع الإلكترونية التي تم اختراقها من قبل شركة Holy Water على نفس الخادم وتضمنت شخصية دينية وجمعية خيرية وبرنامج خدمة تطوعية ومنظمة تجارة عادلة ، من بين آخرين.

وشمل الهجوم مراحل متعددة

عند زيارة موقع ويب تم اختراقه ، يدخل المستخدم في مرحلة الهجوم الأولى التي تتكون من جافا سكريبت تالف يسمى (script | jquery) -css.js ويتم إخفاءه باستخدام Sojson ، وهي خدمة ويب صينية. يتمثل دور هذا البرنامج النصي في تحديد ما إذا كان المستخدم هدفًا صالحًا أم لا ، وللقيام بذلك ، تبدأ الحمولة في جمع البيانات عن الزائر وإرسالها إلى خادم خارجي على loginwebmailnic.dynssl [.] com من خلال طلبات HTTP GET:

https: //loginwebmailnic.dynssl [.] com / all / content.php؟ jsoncallback = & lanip = & wanip = & urlpath = & _ =

تعرض الاستجابة من الخادم نتيجة صحيحة أو خاطئة ، وإذا كانت القيمة صحيحة ، يتم تشغيل المرحلة التالية من الهجوم ؛ خلاف ذلك ، لا يحدث شيء.

أثناء الخطوة الثانية ، تم تشويش ملف JavaScript باسم (script | jquery) -file.js ، والذي تم تشويشه مرة أخرى بنفس الطريقة. ومع ذلك ، استخدم المخترقون هذه المرة Sojson v5 بدلاً من v4. لإصابة المستخدم ، لا تستغل Holy Water APT أي نقاط ضعف أو نقاط ضعف في البرامج. بدلاً من ذلك ، يتم إنشاء نافذة منبثقة تعرض تحديث Flash player ويتعين على الضحية المحتملة الموافقة على تنزيل الملف.

تم استضافة ترسانة أدوات البرامج الضارة الخاصة بـ Holy Water APT على GitHub

إذا سمح المستخدم بمتابعة تحديث Flash المزيف ، فإنه يتصل بمستودع GitHub الذي لم يعد نشطًا والموجود على github.com/AdobeFlash32/FlashUpdate . تم تخزين أربع مجموعات مختلفة من الأدوات في هذا الموقع - حزمة مثبت ، وبرمجيات خبيثة من الباب الخلفي أطلق عليها الباحثون Godlike12 ، ونسختان من باب خلفي مفتوح المصدر من Python يُعرف باسم Stitch ، تم تعديلهما بواسطة المتسللين بوظائف موسعة. حزمة التحديث هي أداة تثبيت NSIS تقوم بإسقاط مثبت Windows Flash Player شرعي وأداة stager تُستخدم لتحميل الحمولة الفعلية. الباب الخلفي Godlike12 مكتوب بلغة Go ويستخدم لتنفيذ قناة Google Drive على خوادم الأوامر والتحكم (C&C ، C2). بالنسبة لمتغيرات Stitch backdoor ، بالإضافة إلى الأنشطة الخلفية المعتادة مثل جمع المعلومات وكلمات المرور وتسجيل النشاط وتنزيل الملفات وما إلى ذلك ، أضافت مجموعة Holy Water القدرة على تنزيل برنامج تثبيت Adobe Flash شرعي للتحديث التلقائي نفسها من ubntrooters.serveuser.com وتحقيق المثابرة من خلال الاستفادة من المهام المجدولة.