Αγίασμα APT

Το Holy Water APT είναι το όνομα που δόθηκε σε μια ομάδα εγκληματιών του κυβερνοχώρου που διεξήγαγαν μια σειρά επιθέσεων τύπου υδροτρύπας εναντίον μιας ασιατικής θρησκευτικής και εθνικής ομάδας. Το TTP (Tactics, Techniques and Procedures) αυτής της συγκεκριμένης επίθεσης δεν θα μπορούσε να αποδοθεί σε κανέναν από τους ήδη γνωστούς παράγοντες του ATP (Advanced Persistent Threat), γεγονός που οδήγησε τους ερευνητές στο συμπέρασμα ότι πρόκειται για μια νέα ομάδα εγκληματιών στον κυβερνοχώρο που εμφανίζει χαρακτηριστικά μια μικρή και ευέλικτη ομάδα χάκερ.

Για να διεξαγάγουν μια επίθεση με νερό, οι εγκληματίες στοχεύουν σε διάφορους ιστότοπους που επισκέπτονται συχνά οι καθορισμένοι στόχοι. Οι ιστότοποι μπορεί να ανήκουν σε οργανισμούς, φιλανθρωπικά ιδρύματα ή άτομα με επιρροή που ανήκουν στην ομάδα-στόχο. Όλοι οι ιστότοποι που παραβιάστηκαν από το Holy Water φιλοξενήθηκαν στον ίδιο διακομιστή και περιλάμβαναν μια θρησκευτική προσωπικότητα, φιλανθρωπικό σκοπό, πρόγραμμα εθελοντικής υπηρεσίας και μια οργάνωση δίκαιου εμπορίου, μεταξύ άλλων.

Η επίθεση περιλάμβανε πολλαπλά στάδια

Κατά την επίσκεψη σε έναν παραβιασμένο ιστότοπο, ο χρήστης εισέρχεται στο πρώτο στάδιο επίθεσης που αποτελείται από ένα κατεστραμμένο JavaScript με το όνομα (script|jquery)-css.js και ασαφές με το Sojson, μια υπηρεσία Ιστού που βασίζεται στην Κίνα. Ο ρόλος αυτού του σεναρίου είναι να προσδιορίσει εάν ο χρήστης είναι έγκυρος στόχος και για να το κάνει αυτό, το ωφέλιμο φορτίο αρχίζει να αποκόπτει δεδομένα στον επισκέπτη και να τα στέλνει σε έναν εξωτερικό διακομιστή στη διεύθυνση loginwebmailnic.dynssl[.]com μέσω αιτημάτων HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Η απάντηση από τον διακομιστή επιστρέφει ένα αληθές ή ψευδές αποτέλεσμα και εάν η τιμή είναι αληθής, ενεργοποιείται το επόμενο στάδιο της επίθεσης. αλλιώς δεν γίνεται τίποτα.

Κατά τη διάρκεια του δεύτερου βήματος, ένα JavaScript με το όνομα (script|jquery)-file.js, το οποίο, για άλλη μια φορά, είναι ασαφές με τον ίδιο τρόπο. Ωστόσο, αυτή τη φορά οι χάκερ χρησιμοποίησαν το Sojson v5 αντί για το v4. Για να μολύνει τον χρήστη, το Holy Water APT δεν εκμεταλλεύεται τυχόν ευπάθειες ή αδυναμίες λογισμικού. Αντίθετα, δημιουργείται ένα αναδυόμενο παράθυρο που προσφέρει ενημέρωση του Flash player και το πιθανό θύμα πρέπει να συμφωνήσει να κατεβάσει το αρχείο.

Το Arsenal of Malware Tools του Holy Water APT φιλοξενήθηκε στο GitHub

Εάν ο χρήστης επιτρέπει τη συνέχιση της ψεύτικης ενημέρωσης Flash, συνδέεται σε ένα μη ενεργό αποθετήριο GitHub που βρίσκεται στη διεύθυνση github.com/AdobeFlash32/FlashUpdate . Τέσσερα διαφορετικά σύνολα εργαλείων αποθηκεύτηκαν σε αυτήν την τοποθεσία - ένα πακέτο προγράμματος εγκατάστασης, ένα κακόβουλο λογισμικό backdoor που ονομάστηκε από τους ερευνητές Godlike12 και δύο εκδόσεις ενός backdoor Python ανοιχτού κώδικα, γνωστό ως Stitch , που τροποποιήθηκαν από τους χάκερ με εκτεταμένη λειτουργικότητα. Το πακέτο ενημέρωσης είναι ένα πρόγραμμα εγκατάστασης NSIS που απορρίπτει ένα νόμιμο πρόγραμμα εγκατάστασης του Windows Flash Player και ένα εργαλείο σταδίου που χρησιμοποιείται για τη φόρτωση του πραγματικού ωφέλιμου φορτίου. Το Godlike12 backdoor είναι γραμμένο στη γλώσσα Go και χρησιμοποιείται για την υλοποίηση ενός καναλιού Google Drive στους διακομιστές Command and Control (C&C, C2). Όσον αφορά τις παραλλαγές του Stitch backdoor, εκτός από τις συνήθεις δραστηριότητες backdoor όπως συλλογή πληροφοριών και κωδικών πρόσβασης, καταγραφή δραστηριοτήτων, λήψη αρχείων κ.λπ., η ομάδα Holy Water πρόσθεσε τη δυνατότητα λήψης ενός νόμιμου προγράμματος εγκατάστασης Adobe Flash, για αυτόματη ενημέρωση τον εαυτό του από το ubntrooters.serveuser.com και επιτυγχάνει επιμονή αξιοποιώντας προγραμματισμένες εργασίες.