Aigua Santa APT

Holy Water APT és el nom donat a un grup de ciberdelinqüents que van dur a terme una sèrie d'atacs de tipus forat contra un grup ètnic i religiós asiàtic. El TTP (Tàctiques, Tècniques i Procediments) d'aquest atac en particular no es va poder atribuir a cap dels ja coneguts actors de l'ATP (Amenaça persistent avançada), la qual cosa va portar els investigadors a concloure que es tracta d'un nou grup cibercriminal que presenta característiques de un petit i flexible equip de pirates informàtics.

Per dur a terme un atac d'aigua, els delinqüents es dirigeixen a diversos llocs web que són visitats pels objectius designats amb freqüència. Els llocs poden pertànyer a organitzacions, organitzacions benèfiques o individus influents que pertanyen al grup objectiu. Tots els llocs web compromesos per Holy Water estaven allotjats al mateix servidor i incloïen una personalitat religiosa, una caritat, un programa de servei voluntari i una organització de comerç just, entre d'altres.

L'atac va incloure diverses etapes

En visitar un lloc web compromès, l'usuari entra a la primera etapa d'atac que consisteix en un JavaScript corrupte anomenat (script|jquery)-css.js i ofuscat amb Sojson, un servei web basat en xinès. La funció d'aquest script és determinar si l'usuari és un objectiu vàlid i, per fer-ho, la càrrega útil comença a esborrar les dades del visitant i les envia a un servidor extern a loginwebmailnic.dynssl[.]com mitjançant sol·licituds HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

La resposta del servidor retorna un resultat vertader o fals, i si el valor és cert, es desencadena la següent etapa de l'atac; en cas contrari, no passa res.

Durant el segon pas, un JavaScript anomenat (script|jquery)-file.js, que, una vegada més, està ofuscat de la mateixa manera. Tanmateix, aquesta vegada els pirates informàtics van utilitzar Sojson v5 en lloc de v4. Per infectar l'usuari, Holy Water APT no explota cap vulnerabilitat ni debilitat del programari. En canvi, es genera una finestra emergent que ofereix una actualització de Flash Player i la víctima potencial ha d'acceptar descarregar el fitxer.

L'Arsenal of Malware Tools de Holy Water APT es va allotjar a GitHub

Si l'usuari permet que l'actualització falsa de Flash continuï, es connecta a un dipòsit de GitHub que ja no està actiu situat a github.com/AdobeFlash32/FlashUpdate . En aquesta ubicació es van emmagatzemar quatre conjunts d'eines diferents: un paquet d'instal·lació, un programari maliciós de porta posterior anomenat pels investigadors Godlike12 i dues versions d'una porta del darrere de Python de codi obert coneguda com Stitch , que van ser modificades pels pirates informàtics amb una funcionalitat ampliada. El paquet d'actualització és un instal·lador NSIS que deixa caure un instal·lador legítim de Windows Flash Player i una eina de fase que s'utilitza per carregar la càrrega útil real. La porta posterior Godlike12 està escrita en llenguatge Go i s'utilitza per implementar un canal de Google Drive als servidors de comandament i control (C&C, C2). Pel que fa a les variants de la porta del darrere de Stitch, a més de les activitats habituals de la porta del darrere, com ara la recollida d'informació i contrasenyes, el registre d'activitats, la descàrrega de fitxers, etc., el grup Holy Water va afegir la possibilitat de descarregar un programa legítim d'instal·lació d'Adobe Flash per actualitzar-lo automàticament. des de ubntrooters.serveuser.com i aconseguir la persistència aprofitant les tasques programades.