성수 APT

Holy Water APT는 아시아의 종교 및 민족 그룹에 대해 일련의 워터홀 유형 공격을 수행한 사이버 범죄자 그룹에 부여된 이름입니다. 이 특정 공격의 TTP(Tactics, Techniques and Procedures)는 이미 알려진 ATP(Advanced Persistent Threat) 행위자에 기인할 수 없었고, 연구원들은 이것이 다음과 같은 특성을 나타내는 새로운 사이버 범죄 그룹이라는 결론을 내렸습니다. 작고 유연한 해커 팀.

워터홀 공격을 수행하기 위해 범죄자들은 지정된 표적이 자주 방문하는 여러 웹사이트를 표적으로 삼습니다. 사이트는 대상 그룹에 속하는 조직, 자선 단체 또는 영향력 있는 개인에 속할 수 있습니다. 홀리워터에 의해 해킹당한 모든 웹사이트는 동일한 서버에서 호스팅되었으며 종교인, 자선단체, 자원봉사 프로그램, 공정거래 단체 등이 포함되었습니다.

여러 단계를 포함하는 공격

감염된 웹 사이트를 방문하면 사용자는 (script|jquery)-css.js라는 이름의 손상된 JavaScript로 구성되고 중국어 기반 웹 서비스인 Sojson으로 난독화된 첫 번째 공격 단계에 들어갑니다. 이 스크립트의 역할은 사용자가 유효한 대상인지 확인하고 그렇게 하기 위해 페이로드가 방문자에 대한 데이터를 스크랩하고 HTTP GET 요청을 통해 loginwebmailnic.dynssl[.]com의 외부 서버로 전송하기 시작합니다.

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

서버의 응답은 true 또는 false 결과를 반환하고 값이 true이면 공격의 다음 단계가 트리거됩니다. 그렇지 않으면 아무 일도 일어나지 않습니다.

두 번째 단계에서 (script|jquery)-file.js라는 이름의 JavaScript가 동일한 방식으로 다시 한 번 난독 처리됩니다. 그러나 이번에는 해커가 v4 대신 Sojson v5를 사용했습니다. 사용자를 감염시키기 위해 Holy Water APT는 소프트웨어 취약점이나 약점을 악용하지 않습니다. 대신 플래시 플레이어 업데이트를 제공하는 팝업 창이 생성되고 잠재적 피해자는 파일 다운로드에 동의해야 합니다.

Holy Water APT의 Arsenal of Malware Tools는 GitHub에서 호스팅되었습니다.

사용자가 가짜 플래시 업데이트를 진행하도록 허용하면 github.com/AdobeFlash32/FlashUpdate 에 있는 더 이상 활성화되지 않은 GitHub 리포지토리에 연결됩니다 . 설치 프로그램 패키지, 연구원 Godlike12가 명명한 백도어 멀웨어, 그리고 확장된 기능으로 해커에 의해 수정된 Stitch로 알려진 오픈 소스 Python 백도어의 두 가지 버전 등 4가지 도구 세트가 해당 위치에 저장되었습니다. 업데이트 패키지는 실제 페이로드를 로드하는 데 사용되는 스테이저 도구와 합법적인 Windows Flash Player 설치 프로그램을 삭제하는 NSIS 설치 프로그램입니다. Godlike12 백도어는 Go 언어로 작성되었으며 명령 및 제어(C&C, C2) 서버에 대한 Google 드라이브 채널을 구현하는 데 사용됩니다. Stitch 백도어 변종에 대해 정보 및 비밀번호 수집, 활동 로깅, 파일 다운로드 등과 같은 일반적인 백도어 활동 외에도 Holy Water 그룹은 자동 업데이트를 위해 합법적인 Adobe Flash 설치 프로그램을 다운로드하는 기능을 추가했습니다. ubntrooters.serveuser.com에서 자체적으로 생성하고 예약된 작업을 활용하여 지속성을 달성합니다.