Holy Water APT

Holy Water APT er navnet gitt til en gruppe nettkriminelle som utførte en serie angrep av typen vannhull mot en asiatisk religiøs og etnisk gruppe. TTP (Tactics, Techniques and Procedures) for dette spesielle angrepet kunne ikke tilskrives noen av de allerede kjente ATP (Advanced Persistent Threat) aktørene, noe som førte forskerne til konklusjonen at dette er en ny nettkriminell gruppe som viser egenskaper av et lite og fleksibelt team av hackere.

For å gjennomføre et vannhullsangrep retter de kriminelle seg mot flere nettsteder som ofte besøkes av de utpekte målene. Nettstedene kan tilhøre organisasjoner, veldedige organisasjoner eller innflytelsesrike individer som tilhører målgruppen. Alle nettstedene som ble kompromittert av Holy Water ble vert på samme server og inkluderte blant annet en religiøs personlighet, veldedighet, frivillig tjenesteprogram og en rettferdig handelsorganisasjon.

Angrepet inkluderte flere stadier

Når brukeren besøker et kompromittert nettsted, går brukeren inn i det første angrepsstadiet som består av et ødelagt JavaScript kalt (script|jquery)-css.js og obfuskert med Sojson, en kinesisk-basert webtjeneste. Dette skriptets rolle er å finne ut om brukeren er et gyldig mål, og for å gjøre det begynner nyttelasten å skrape data på den besøkende og sende den til en ekstern server på loginwebmailnic.dynssl[.]com gjennom HTTP GET-forespørsler:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Svaret fra serveren returnerer et sant eller usant resultat, og hvis verdien er sann, utløses neste trinn av angrepet; ellers skjer ingenting.

I løpet av det andre trinnet, en JavaScript kalt (script|jquery)-file.js, som igjen er tilsløret på samme måte. Imidlertid brukte hackerne denne gangen Sojson v5 i stedet for v4. For å infisere brukeren, utnytter ikke Holy Water APT noen programvaresårbarheter eller svakheter. I stedet genereres et popup-vindu som tilbyr en Flash-spilleroppdatering, og det potensielle offeret må godta å laste ned filen.

Holy Water APTs Arsenal of Malware Tools ble arrangert på GitHub

Hvis brukeren lar den falske Flash-oppdateringen fortsette, kobles den til et ikke lenger aktivt GitHub-lager på github.com/AdobeFlash32/FlashUpdate . Fire forskjellige sett med verktøy ble lagret på det stedet - en installasjonspakke, en bakdørs malware navngitt av forskerne Godlike12, og to versjoner av en åpen kildekode Python-bakdør kjent som Stitch , som ble modifisert av hackerne med utvidet funksjonalitet. Oppdateringspakken er et NSIS-installasjonsprogram som slipper et legitimt Windows Flash Player-installasjonsprogram og et stager-verktøy som brukes til å laste den faktiske nyttelasten. Godlike12-bakdøren er skrevet på Go-språket og brukes til å implementere en Google Drive-kanal til Command and Control (C&C, C2)-servere. Når det gjelder Stitch-bakdørsvarianter, la Holy Water-gruppen i tillegg til de vanlige bakdørsaktivitetene som informasjon og passordinnsamling, aktivitetslogging, filnedlasting osv. muligheten til å laste ned et legitimt Adobe Flash-installasjonsprogram for automatisk oppdatering seg selv fra ubntrooters.serveuser.com og oppnå utholdenhet ved å utnytte planlagte oppgaver.