Holy Water APT

Holy Water APT er navnet på en gruppe cyberkriminelle, der udførte en række angreb af typen vandhul mod en asiatisk religiøs og etnisk gruppe. TTP (Tactics, Techniques and Procedures) for dette særlige angreb kunne ikke tilskrives nogen af de allerede kendte ATP (Advanced Persistent Threat) aktører, hvilket førte forskerne til den konklusion, at dette er en ny cyberkriminel gruppe, der udviser karakteristika af et lille og fleksibelt team af hackere.

For at udføre et vandhulsangreb retter de kriminelle sig mod adskillige websteder, som ofte bliver besøgt af de udpegede mål. Webstederne kan tilhøre organisationer, velgørende organisationer eller indflydelsesrige personer, der tilhører målgruppen. Alle websteder kompromitteret af Holy Water blev hostet på den samme server og inkluderede blandt andet en religiøs personlighed, velgørenhed, frivilligt serviceprogram og en fair trade-organisation.

Angrebet omfattede flere stadier

Når brugeren besøger et kompromitteret websted, går brugeren ind i den første angrebsfase, der består af et beskadiget JavaScript ved navn (script|jquery)-css.js og sløret med Sojson, en kinesisk-baseret webtjeneste. Dette scripts rolle er at afgøre, om brugeren er et gyldigt mål, og for at gøre det begynder nyttelasten at skrabe data på den besøgende og sende dem til en ekstern server på loginwebmailnic.dynssl[.]com gennem HTTP GET-anmodninger:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Svaret fra serveren returnerer et sandt eller falsk resultat, og hvis værdien er sand, udløses næste trin af angrebet; ellers sker der ikke noget.

Under det andet trin, en JavaScript ved navn (script|jquery)-file.js, som igen er sløret på samme måde. Men denne gang brugte hackerne Sojson v5 i stedet for v4. For at inficere brugeren udnytter Holy Water APT ikke nogen softwaresårbarheder eller -svagheder. I stedet genereres et pop op-vindue med en Flash-afspilleropdatering, og det potentielle offer skal acceptere at downloade filen.

Holy Water APT's Arsenal of Malware Tools blev hostet på GitHub

Hvis brugeren tillader den falske Flash-opdatering at fortsætte, opretter den forbindelse til et ikke længere aktivt GitHub-lager placeret på github.com/AdobeFlash32/FlashUpdate . Fire forskellige sæt værktøjer blev gemt på det sted - en installationspakke, en bagdørs- malware navngivet af forskerne Godlike12 og to versioner af en open source Python-bagdør kendt som Stitch, som blev modificeret af hackerne med udvidet funktionalitet. Opdateringspakken er et NSIS-installationsprogram, der dropper et legitimt Windows Flash Player-installationsprogram og et stager-værktøj, der bruges til at indlæse den faktiske nyttelast. Godlike12-bagdøren er skrevet i Go-sprog og bruges til at implementere en Google Drive-kanal til Command and Control (C&C, C2) serverne. Hvad angår Stitch-bagdørsvarianterne, tilføjede Holy Water-gruppen, ud over de sædvanlige bagdørsaktiviteter såsom information og adgangskodeindsamling, aktivitetslogning, fildownload osv. muligheden for at downloade et legitimt Adobe Flash-installationsprogram for automatisk opdatering sig selv fra ubnrooters.serveuser.com og opnå vedholdenhed ved at udnytte planlagte opgaver.