Holy Water APT

पवित्र जल एपीटी साइबर अपराधियों के एक समूह को दिया गया नाम है जिसने एक एशियाई धार्मिक और जातीय समूह के खिलाफ जल-छेद प्रकार के हमलों की एक श्रृंखला आयोजित की। इस विशेष हमले के टीटीपी (रणनीति, तकनीक और प्रक्रिया) को पहले से ज्ञात एटीपी (एडवांस पर्सिस्टेंट थ्रेट) अभिनेताओं में से किसी के लिए जिम्मेदार नहीं ठहराया जा सकता है, जिसने शोधकर्ताओं को इस निष्कर्ष पर पहुंचाया कि यह एक नया साइबर अपराधी समूह है जो विशेषताओं को प्रदर्शित करता है हैकर्स की एक छोटी और लचीली टीम।

वाटर-होल हमले का संचालन करने के लिए, अपराधी कई वेबसाइटों को लक्षित करते हैं, जिन पर अक्सर निर्दिष्ट लक्ष्य आते हैं। साइटें उन संगठनों, दान या प्रभावशाली व्यक्तियों से संबंधित हो सकती हैं जो लक्षित समूह से संबंधित हैं। पवित्र जल द्वारा समझौता की गई सभी वेबसाइटों को एक ही सर्वर पर होस्ट किया गया था और इसमें एक धार्मिक व्यक्तित्व, दान, स्वैच्छिक सेवा कार्यक्रम और एक निष्पक्ष व्यापार संगठन शामिल थे।

हमले में कई चरण शामिल थे

एक छेड़छाड़ की गई वेबसाइट पर जाने पर, उपयोगकर्ता पहले हमले के चरण में प्रवेश करता है जिसमें एक दूषित जावास्क्रिप्ट नाम (script|jquery)-css.js होता है और चीनी-आधारित वेब सेवा सोजसन के साथ अस्पष्ट होता है। इस स्क्रिप्ट की भूमिका यह निर्धारित करना है कि क्या उपयोगकर्ता एक वैध लक्ष्य है और ऐसा करने के लिए पेलोड विज़िटर पर डेटा स्क्रैप करना शुरू कर देता है और इसे HTTP GET अनुरोधों के माध्यम से loginwebmailnic.dynssl[.]com पर बाहरी सर्वर पर भेजना शुरू कर देता है:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

सर्वर से प्रतिक्रिया एक सही या गलत परिणाम देता है, और यदि मान सत्य है, तो हमले का अगला चरण शुरू हो जाता है; अन्यथा कुछ नहीं होता।

दूसरे चरण के दौरान, (script|jquery)-file.js नाम की एक जावास्क्रिप्ट, जो एक बार फिर उसी तरीके से उलझी हुई है। हालांकि, इस बार हैकर्स ने v4 के बजाय Sojson v5 का इस्तेमाल किया। उपयोगकर्ता को संक्रमित करने के लिए, पवित्र जल एपीटी किसी भी सॉफ्टवेयर कमजोरियों या कमजोरियों का फायदा नहीं उठाता है। इसके बजाय, फ्लैश प्लेयर अपडेट की पेशकश करने वाली एक पॉप-अप विंडो उत्पन्न होती है और संभावित पीड़ित को फ़ाइल डाउनलोड करने के लिए सहमत होना पड़ता है।

पवित्र जल APT के मालवेयर टूल्स के शस्त्रागार को GitHub पर होस्ट किया गया था

यदि उपयोगकर्ता नकली फ्लैश अपडेट को आगे बढ़ने की अनुमति देता है, तो यह github.com/AdobeFlash32/FlashUpdate पर स्थित एक सक्रिय GitHub रिपॉजिटरी से जुड़ता है। उस स्थान पर उपकरणों के चार अलग-अलग सेट संग्रहीत किए गए थे - एक इंस्टॉलर पैकेज, शोधकर्ताओं द्वारा नामित एक पिछले दरवाजे का मैलवेयर Godlike12, और एक ओपन-सोर्स पायथन बैकडोर के दो संस्करण जिन्हें Stitch के रूप में जाना जाता है, जिन्हें हैकर्स द्वारा विस्तारित कार्यक्षमता के साथ संशोधित किया गया था। अद्यतन पैकेज एक एनएसआईएस इंस्टॉलर है जो एक वैध विंडोज फ्लैश प्लेयर इंस्टॉलर और एक स्टैगर टूल को छोड़ देता है जिसका उपयोग वास्तविक पेलोड को लोड करने के लिए किया जाता है। Godlike12 पिछले दरवाजे को गो भाषा में लिखा गया है और इसका उपयोग Google ड्राइव चैनल को कमांड एंड कंट्रोल (C&C, C2) सर्वर पर लागू करने के लिए किया जाता है। स्टिच बैकडोर वेरिएंट के लिए, सामान्य पिछले दरवाजे की गतिविधियों जैसे कि सूचना और पासवर्ड संग्रह, गतिविधि लॉगिंग, फ़ाइल डाउनलोड, आदि के अलावा, पवित्र जल समूह ने एक वैध एडोब फ्लैश इंस्टॉलेशन प्रोग्राम को ऑटो-अपडेट करने के लिए डाउनलोड करने की क्षमता को जोड़ा। स्वयं ubntrooters.serveuser.com से और निर्धारित कार्यों का लाभ उठाकर दृढ़ता प्राप्त करें।