Szentelt Víz APT

Holy Water APT a kiberbûnözõk egy csoportjának elnevezése, amely egy sor vízi lyuk típusú támadást hajtott végre egy ázsiai vallási és etnikai csoport ellen. Ennek a konkrét támadásnak a TTP-jét (Tactics, Techniques and Procedures) nem lehetett a már ismert ATP (Advanced Persistent Threat) szereplők egyikének sem tulajdonítani, így a kutatók arra a következtetésre jutottak, hogy ez egy új kiberbűnözői csoport, amely egy kicsi és rugalmas hackercsapat.

A bûnözõk vízlyuk-támadás végrehajtásához több olyan webhelyet vesznek célba, amelyeket a kijelölt célpontok gyakran látogatnak. Az oldalak a célcsoporthoz tartozó szervezetekhez, jótékonysági szervezetekhez vagy befolyásos személyekhez tartozhatnak. A Holy Water által kompromittált webhelyek mindegyike ugyanazon a szerveren volt, és többek között vallási személyiséget, jótékonysági, önkéntes szolgálati programot és méltányos kereskedelmi szervezetet tartalmazott.

A támadás több szakaszt tartalmazott

Egy feltört webhely meglátogatásakor a felhasználó belép az első támadási szakaszba, amely egy (script|jquery)-css.js nevű sérült JavaScriptből áll, és a Sojson, egy kínai alapú webszolgáltatással van megzavarva. Ennek a szkriptnek az a szerepe, hogy megállapítsa, hogy a felhasználó érvényes célpont-e, és ennek érdekében a hasznos teher elkezdi lekaparni a látogató adatait, és elküldi azokat egy külső szerverre a loginwebmailnic.dynssl[.]com címen HTTP GET kéréseken keresztül:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

A szerver válasza igaz vagy hamis eredményt ad vissza, és ha az érték igaz, akkor a támadás következő szakasza indul el; különben nem történik semmi.

A második lépésben egy (script|jquery)-file.js nevű JavaScriptet, amelyet ismét ugyanilyen módon obfuszkálunk. A hackerek azonban ezúttal a Sojson v5-öt használták a v4 helyett. A felhasználó megfertőzésére a Holy Water APT nem használja ki a szoftver sebezhetőségét vagy gyengeségét. Ehelyett egy felugró ablak jön létre, amely a Flash lejátszó frissítését kínálja, és a potenciális áldozatnak bele kell egyeznie a fájl letöltésébe.

A Holy Water APT Malware Tools arzenálját a GitHubon tárolták

Ha a felhasználó engedélyezi a hamis Flash-frissítés folytatását, az csatlakozik egy már nem aktív GitHub-tárolóhoz, amely a github.com/AdobeFlash32/FlashUpdate címen található. Négy különböző eszközkészletet tároltak ezen a helyen – egy telepítőcsomagot, egy, a Godlike12 kutatók által elnevezett backdoor malware-t, és a Stitch néven ismert nyílt forráskódú Python hátsó ajtó két változatát, amelyeket a hackerek bővített funkcionalitással módosítottak. A frissítőcsomag egy NSIS-telepítő, amely eldob egy legitim Windows Flash Player telepítőt, és egy szakaszos eszköz, amely a tényleges hasznos adat betöltésére szolgál. A Godlike12 hátsó ajtó Go nyelven íródott, és egy Google Drive-csatorna megvalósítására szolgál a Command and Control (C&C, C2) szervereken. Ami a Stitch hátsó ajtó változatait illeti, a szokásos hátsó ajtós tevékenységeken, mint például információ- és jelszógyűjtés, tevékenységnaplózás, fájlok letöltése stb., a Holy Water csoport hozzáadta a legitim Adobe Flash telepítőprogram letöltésének lehetőségét az automatikus frissítéshez. magát az ubntrooters.serveuser.com webhelyről, és elérje a kitartást az ütemezett feladatok kihasználásával.