APT آب مقدس

Holy Water APT نامی است که به گروهی از مجرمان سایبری داده شده است که یک سری حملات از نوع چاله آب را علیه یک گروه مذهبی و قومی آسیایی انجام دادند. TTP (تاکتیک ها، تکنیک ها و رویه ها) این حمله خاص را نمی توان به هیچ یک از بازیگران شناخته شده ATP (تهدید پایدار پیشرفته) نسبت داد، که محققان را به این نتیجه رساند که این یک گروه مجرم سایبری جدید است که ویژگی های خود را نشان می دهد. یک تیم کوچک و انعطاف پذیر از هکرها.

برای انجام یک حمله حفره آب، مجرمان چندین وب سایت را هدف قرار می دهند که به طور مکرر توسط اهداف تعیین شده بازدید می شود. سایت ها می توانند متعلق به سازمان ها، موسسات خیریه یا افراد با نفوذی باشند که به گروه هدف تعلق دارند. همه وب‌سایت‌هایی که توسط آب مقدس در معرض خطر قرار گرفته بودند، روی یک سرور میزبانی می‌شدند و شامل شخصیت مذهبی، خیریه، برنامه خدمات داوطلبانه، و سازمان تجارت منصفانه و غیره بودند.

حمله شامل چند مرحله بود

با بازدید از یک وب سایت در معرض خطر، کاربر وارد اولین مرحله حمله می شود که شامل یک جاوا اسکریپت خراب به نام (script|jquery)-css.js است و با Sojson، یک سرویس وب مبتنی بر چین، مبهم شده است. نقش این اسکریپت این است که تعیین کند آیا کاربر یک هدف معتبر است یا خیر و برای انجام این کار، payload شروع به خراش دادن داده‌ها روی بازدیدکننده و ارسال آن به یک سرور خارجی در loginwebmailnic.dynssl[.]com از طریق درخواست‌های HTTP GET می‌کند:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

پاسخ سرور یک نتیجه درست یا نادرست را برمی‌گرداند و اگر مقدار درست باشد، مرحله بعدی حمله آغاز می‌شود. در غیر این صورت هیچ اتفاقی نمی افتد

در مرحله دوم، یک جاوا اسکریپت با نام (script|jquery)-file.js که یک بار دیگر به همان شیوه مبهم می شود. با این حال، این بار هکرها به جای v4 از Sojson v5 استفاده کردند. برای آلوده کردن کاربر، Holy Water APT از هیچ آسیب پذیری یا ضعف نرم افزاری استفاده نمی کند. درعوض، یک پنجره پاپ آپ با ارائه به روز رسانی فلش پلیر ایجاد می شود و قربانی احتمالی باید با دانلود فایل موافقت کند.

Arsenal of Malware Tools Holy Water APT در GitHub میزبانی شد

اگر کاربر اجازه دهد به‌روزرسانی جعلی Flash ادامه یابد، به یک مخزن GitHub که دیگر فعال نیست واقع در github.com/AdobeFlash32/FlashUpdate متصل می‌شود . چهار مجموعه مختلف از ابزارها در آن مکان ذخیره شدند - یک بسته نصب کننده، یک بدافزار در پشتی به نام محققین Godlike12 ، و دو نسخه از یک درپشتی منبع باز Python معروف به Stitch که توسط هکرها با قابلیت های توسعه یافته اصلاح شد. بسته به‌روزرسانی یک نصب‌کننده NSIS است که یک نصب‌کننده قانونی Windows Flash Player و یک ابزار مرحله‌ای را که برای بارگیری بار واقعی استفاده می‌شود، حذف می‌کند. درب پشتی Godlike12 به زبان Go نوشته شده است و برای پیاده سازی یک کانال Google Drive در سرورهای Command and Control (C&C, C2) استفاده می شود. در مورد انواع درپشتی Stitch، علاوه بر فعالیت‌های معمولی درب پشتی مانند جمع‌آوری اطلاعات و رمز عبور، ثبت فعالیت‌ها، دانلود فایل و غیره، گروه آب مقدس، قابلیت دانلود برنامه قانونی نصب Adobe Flash را برای به‌روزرسانی خودکار اضافه کرد. خود را از ubntrooters.serveuser.com دریافت می کند و با استفاده از وظایف برنامه ریزی شده به پایداری دست می یابد.