APT Air Suci

Holy Water APT ialah nama yang diberikan kepada sekumpulan penjenayah siber yang melakukan beberapa siri serangan jenis lubang air terhadap kumpulan agama dan etnik Asia. TTP (Taktik, Teknik dan Prosedur) serangan khusus ini tidak boleh dikaitkan dengan mana-mana pelakon ATP (Advanced Persistent Threat) yang telah diketahui, yang menyebabkan penyelidik membuat kesimpulan bahawa ini adalah kumpulan penjenayah siber baharu yang memaparkan ciri-ciri pasukan penggodam yang kecil dan fleksibel.

Untuk melakukan serangan lubang air, penjenayah menyasarkan beberapa laman web yang kerap dikunjungi oleh sasaran yang ditetapkan. Tapak tersebut boleh menjadi milik organisasi, badan amal atau individu berpengaruh yang tergolong dalam kumpulan sasaran. Semua laman web yang dikompromi oleh Holy Water telah dihoskan pada pelayan yang sama dan termasuk personaliti keagamaan, amal, program perkhidmatan sukarela dan organisasi perdagangan yang adil, antara lain.

Serangan Termasuk Pelbagai Peringkat

Apabila melawat tapak web yang terjejas, pengguna memasuki peringkat serangan pertama yang terdiri daripada JavaScript rosak bernama (skrip|jquery)-css.js dan dikaburkan dengan Sojson, perkhidmatan Web berasaskan Cina. Peranan skrip ini adalah untuk menentukan sama ada pengguna adalah sasaran yang sah dan untuk berbuat demikian, muatan mula mengikis data pada pelawat dan menghantarnya ke pelayan luaran di loginwebmailnic.dynssl[.]com melalui permintaan HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Respons daripada pelayan mengembalikan hasil yang benar atau palsu, dan jika nilainya benar, peringkat seterusnya serangan akan dicetuskan; jika tidak, tiada apa yang berlaku.

Semasa langkah kedua, JavaScript bernama (script|jquery)-file.js, yang sekali lagi, dikaburkan dengan cara yang sama. Walau bagaimanapun, kali ini penggodam menggunakan Sojson v5 dan bukannya v4. Untuk menjangkiti pengguna, Holy Water APT tidak mengeksploitasi sebarang kelemahan atau kelemahan perisian. Sebaliknya, tetingkap pop timbul yang menawarkan kemas kini pemain Flash dijana dan bakal mangsa perlu bersetuju untuk memuat turun fail.

Holy Water APT's Arsenal of Malware Tools telah Dihoskan di GitHub

Jika pengguna membenarkan kemas kini Flash palsu diteruskan, ia bersambung ke repositori GitHub yang tidak lagi aktif yang terletak di github.com/AdobeFlash32/FlashUpdate . Empat set alat berbeza telah disimpan di lokasi tersebut - pakej pemasang, perisian hasad pintu belakang yang dinamakan oleh penyelidik Godlike12 dan dua versi pintu belakang Python sumber terbuka yang dikenali sebagai Stitch , yang telah diubah suai oleh penggodam dengan fungsi yang diperluaskan. Pakej kemas kini ialah pemasang NSIS yang menjatuhkan pemasang Windows Flash Player yang sah dan alat pentas yang digunakan untuk memuatkan muatan sebenar. Pintu belakang Godlike12 ditulis dalam bahasa Go dan digunakan untuk melaksanakan saluran Google Drive ke pelayan Perintah dan Kawalan (C&C, C2). Bagi varian pintu belakang Stitch, sebagai tambahan kepada aktiviti pintu belakang biasa seperti pengumpulan maklumat dan kata laluan, pengelogan aktiviti, muat turun fail, dll., kumpulan Holy Water menambah keupayaan untuk memuat turun program Pemasangan Adobe Flash yang sah, untuk mengemas kini secara automatik sendiri daripada ubntrooters.serveuser.com dan mencapai kegigihan dengan memanfaatkan tugas yang dijadualkan.