Šventasis vanduo APT

Šventasis vanduo APT yra pavadinimas, suteiktas kibernetinių nusikaltėlių grupei, kuri surengė vandens duobės tipo atakas prieš Azijos religinę ir etninę grupę. Šios konkrečios atakos TTP (taktikos, technikos ir procedūrų) negalima priskirti nė vienam iš jau žinomų ATP (išplėstinės nuolatinės grėsmės) veikėjų, todėl mokslininkai padarė išvadą, kad tai nauja kibernetinių nusikaltėlių grupė, kuri pasižymi maža ir lanksti įsilaužėlių komanda.

Norėdami įvykdyti vandens duobės ataką, nusikaltėliai taikosi į kelias svetaines, kuriose dažnai lankosi nurodyti taikiniai. Svetainės gali priklausyti organizacijoms, labdaros organizacijoms ar įtakingiems asmenims, kurie priklauso tikslinei grupei. Visos „Holy Water“ pažeistos svetainės buvo talpinamos tame pačiame serveryje ir, be kita ko, apėmė religinę asmenybę, labdarą, savanoriškos tarnybos programą ir sąžiningos prekybos organizaciją.

Ataka apėmė kelis etapus

Apsilankęs svetainėje, kuriai buvo pakenkta, vartotojas patenka į pirmąją atakos stadiją, kurią sudaro sugadintas „JavaScript“, pavadintas (script|jquery)-css.js, ir užtemdytas „Sojson“, kinų žiniatinklio paslauga. Šio scenarijaus funkcija yra nustatyti, ar vartotojas yra tinkamas taikinys, ir tai padaryti naudingoji apkrova pradeda rinkti lankytojo duomenis ir siųsti juos į išorinį serverį adresu loginwebmailnic.dynssl[.]com per HTTP GET užklausas:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Atsakymas iš serverio pateikia teisingą arba klaidingą rezultatą, o jei reikšmė teisinga, suaktyvinamas kitas atakos etapas; kitaip nieko neatsitiks.

Atliekant antrąjį veiksmą, JavaScript pavadintas (script|jquery)-file.js, kuris dar kartą užtemdytas tokiu pačiu būdu. Tačiau šį kartą įsilaužėliai naudojo Sojson v5, o ne v4. Norėdami užkrėsti vartotoją, Holy Water APT nenaudoja jokių programinės įrangos spragų ar trūkumų. Vietoj to sukuriamas iššokantis langas, siūlantis „Flash“ grotuvo naujinimą, o potenciali auka turi sutikti atsisiųsti failą.

Holy Water APT kenkėjiškų programų įrankių arsenalas buvo priglobtas GitHub

Jei vartotojas leidžia tęsti netikrą „Flash“ naujinimą, jis prisijungia prie nebeaktyvios „GitHub“ saugyklos, esančios adresu github.com/AdobeFlash32/FlashUpdate . Toje vietoje buvo saugomi keturi skirtingi įrankių rinkiniai – diegimo paketas, užpakalinių durų kenkėjiška programa, pavadinta tyrėjų Godlike12 , ir dvi atvirojo kodo „Python“ užpakalinių durų, žinomos kaip „ Stitch“ , versijos, kurias įsilaužėliai pakeitė su išplėstomis funkcijomis. Atnaujinimo paketas yra NSIS diegimo programa, kuri pašalina teisėtą „Windows Flash Player“ diegimo programą ir pakopų įrankį, kuris naudojamas faktiniam naudingajam kroviniui įkelti. „Godlike12“ užpakalinės durys yra parašytos „Go“ kalba ir naudojamos „Google“ disko kanalui įdiegti komandų ir valdymo (C&C, C2) serveriuose. Kalbant apie „Stitch“ užpakalinių durų variantus, be įprastų užpakalinių durų veiklos, pvz., informacijos ir slaptažodžių rinkimo, veiklos registravimo, failų atsisiuntimo ir kt., „Holy Water“ grupė pridėjo galimybę atsisiųsti teisėtą „Adobe Flash“ diegimo programą, kad būtų galima automatiškai atnaujinti. pati iš ubntrooters.serveuser.com ir pasiekti atkaklumo pasitelkdama suplanuotas užduotis.