Sveta voda APT

Holy Water APT naziv je za skupinu kibernetičkih kriminalaca koji su proveli niz napada tipa vodene rupe protiv azijske vjerske i etničke skupine. TTP (Tactics, Techniques and Procedures) ovog konkretnog napada ne može se pripisati nijednom od već poznatih ATP (Advanced Persistent Threat) aktera, što je istraživače navelo na zaključak da se radi o novoj cyber kriminalnoj skupini koja pokazuje karakteristike mali i fleksibilni tim hakera.

Kako bi izvršili napad iz vodene rupe, kriminalci ciljaju nekoliko web stranica koje često posjećuju određene mete. Stranice mogu pripadati organizacijama, dobrotvornim udrugama ili utjecajnim pojedincima koji pripadaju ciljanoj skupini. Sve web-stranice koje je ugrozila Sveta voda bile su smještene na istom poslužitelju i uključivale su, između ostalog, vjersku osobu, dobrotvornu organizaciju, program dobrovoljnog služenja i organizaciju poštene trgovine.

Napad je uključivao više faza

Nakon posjete ugroženom web-mjestu, korisnik ulazi u prvu fazu napada koja se sastoji od oštećenog JavaScripta pod nazivom (script|jquery)-css.js i prikrivenog Sojsonom, kineskom web-uslugom. Uloga ove skripte je utvrditi je li korisnik valjani cilj i da to učini, teret počinje scrapati podatke o posjetitelju i poslati ih vanjskom poslužitelju na loginwebmailnic.dynssl[.]com putem HTTP GET zahtjeva:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Odgovor poslužitelja vraća točan ili netočan rezultat, a ako je vrijednost istinita, pokreće se sljedeća faza napada; inače se ništa ne događa.

Tijekom drugog koraka, JavaScript pod nazivom (script|jquery)-file.js, koji je, još jednom, zamaskiran na isti način. Međutim, ovaj put su hakeri koristili Sojson v5 umjesto v4. Kako bi zarazio korisnika, Holy Water APT ne iskorištava nikakve softverske ranjivosti ili slabosti. Umjesto toga, generira se skočni prozor koji nudi ažuriranje Flash playera i potencijalna žrtva mora pristati na preuzimanje datoteke.

Arsenal zlonamjernih alata Holy Water APT-a bio je hostiran na GitHubu

Ako korisnik dopusti nastavak lažnog ažuriranja Flasha, ono se povezuje s više neaktivnim GitHub repozitorijom koji se nalazi na github.com/AdobeFlash32/FlashUpdate . Četiri različita skupa alata bila su pohranjena na tom mjestu - instalacijski paket, backdoor zlonamjerni softver kojeg su istraživači nazvali Godlike12 i dvije verzije otvorenog Python backdoora poznatog kao Stitch , koje su hakeri modificirali s proširenom funkcionalnošću. Paket ažuriranja je NSIS instalacijski program koji ispušta legitimni instalacijski program za Windows Flash Player i stager alat koji se koristi za učitavanje stvarnog tereta. Godlike12 backdoor je napisan na jeziku Go i koristi se za implementaciju kanala Google diska na poslužitelje za upravljanje i upravljanje (C&C, C2). Što se tiče varijanti stražnjih vrata Stitch, uz uobičajene backdoor aktivnosti kao što su prikupljanje informacija i lozinki, bilježenje aktivnosti, preuzimanje datoteka itd., grupa Holy Water dodala je mogućnost preuzimanja legitimnog Adobe Flash instalacijskog programa za automatsko ažuriranje sebe s ubntrooters.serveuser.com i postići postojanost korištenjem zakazanih zadataka.