Света вода APT

Holy Water APT е името, дадено на група от киберпрестъпници, които проведоха серия от атаки тип водна дупка срещу азиатска религиозна и етническа група. TTP (тактика, техники и процедури) на тази конкретна атака не може да се припише на нито един от вече известните участници в ATP (Advanced Persistent Threat), което доведе изследователите до заключението, че това е нова киберпрестъпна група, която показва характеристики на малък и гъвкав екип от хакери.

За да извършат атака с водна дупка, престъпниците се насочват към няколко уебсайта, които често се посещават от определените цели. Сайтовете могат да принадлежат на организации, благотворителни организации или влиятелни лица, които принадлежат към целевата група. Всички уебсайтове, компрометирани от Holy Water, бяха хоствани на един и същ сървър и включваха религиозна личност, благотворителност, програма за доброволни услуги и организация за справедлива търговия, наред с други.

Атаката включваше множество етапи

При посещение на компрометиран уебсайт, потребителят влиза в първия етап на атака, който се състои от повреден JavaScript с име (script|jquery)-css.js и обфуциран с Sojson, базирана на Китай уеб услуга. Ролята на този скрипт е да определи дали потребителят е валидна цел и за да направи това полезният товар започва да изписва данни за посетителя и да ги изпраща на външен сървър на loginwebmailnic.dynssl[.]com чрез HTTP GET заявки:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Отговорът от сървъра връща вярно или невярно резултат и ако стойността е истина, се задейства следващият етап на атаката; иначе нищо не се случва.

По време на втората стъпка, JavaScript с име (script|jquery)-file.js, който отново е обфуциран по същия начин. Този път обаче хакерите използваха Sojson v5 вместо v4. За да зарази потребителя, Holy Water APT не използва никакви софтуерни уязвимости или слабости. Вместо това се генерира изскачащ прозорец, предлагащ актуализация на Flash плейъра и потенциалната жертва трябва да се съгласи да изтегли файла.

Арсеналът от инструменти за злонамерен софтуер на Holy Water APT беше хостван на GitHub

Ако потребителят позволи на фалшивата актуализация на Flash да продължи, той се свързва с вече неактивно хранилище на GitHub, намиращо се на адрес github.com/AdobeFlash32/FlashUpdate . На това място бяха съхранени четири различни набора от инструменти - инсталационен пакет, зловреден софтуер за бекдор, наречен от изследователите Godlike12 и две версии на бекдор на Python с отворен код, известен като Stitch , които бяха модифицирани от хакерите с разширена функционалност. Пакетът за актуализация е инсталатор на NSIS, който пуска легитимен инсталатор на Windows Flash Player и инструмент за стъпало, който се използва за зареждане на действителния полезен товар. Задната врата Godlike12 е написана на език Go и се използва за внедряване на канал на Google Drive към сървърите за командване и управление (C&C, C2). Що се отнася до вариантите на задната врата на Stitch, в допълнение към обичайните дейности на задната врата, като събиране на информация и пароли, регистриране на дейности, изтегляне на файлове и т.н., групата Holy Water добави възможността за изтегляне на легитимна програма за инсталиране на Adobe Flash за автоматично актуализиране себе си от ubntrooters.serveuser.com и да постигне постоянство чрез използване на планирани задачи.