पवित्र पानी एपीटी

होली वाटर एपीटी साइबर अपराधीहरूको समूहलाई दिइएको नाम हो जसले एसियाली धार्मिक र जातीय समूह विरुद्ध वाटर-होल प्रकारका आक्रमणहरूको श्रृंखला सञ्चालन गर्यो। यस विशेष आक्रमणको TTP (रणनीति, प्रविधि र प्रक्रियाहरू) पहिले नै ज्ञात एटीपी (उन्नत पर्सिस्टेन्ट थ्रेट) अभिनेताहरू मध्ये कुनै पनि व्यक्तिलाई श्रेय दिन सकिँदैन, जसले अनुसन्धानकर्ताहरूलाई यो निष्कर्षमा पुर्यायो कि यो नयाँ साइबर अपराध समूह हो जसले विशेषताहरू प्रदर्शन गर्दछ। ह्याकरहरूको सानो र लचिलो टोली।

पानी-प्वाल आक्रमण गर्न, अपराधीहरूले धेरै वेबसाइटहरूलाई लक्षित गर्छन् जुन तोकिएको लक्ष्यहरू द्वारा बारम्बार भ्रमण गरिन्छ। साइटहरू लक्षित समूहसँग सम्बन्धित संस्थाहरू, परोपकारी संस्थाहरू वा प्रभावशाली व्यक्तिहरूसँग सम्बन्धित हुन सक्छन्। होली वाटरद्वारा सम्झौता गरिएका सबै वेबसाइटहरू एउटै सर्भरमा होस्ट गरिएका थिए र यसमा धार्मिक व्यक्तित्व, परोपकार, स्वैच्छिक सेवा कार्यक्रम, र निष्पक्ष व्यापार संगठनहरू समावेश थिए।

आक्रमणले धेरै चरणहरू समावेश गर्दछ

सम्झौता गरिएको वेबसाइटमा गएर, प्रयोगकर्ता पहिलो आक्रमणको चरणमा प्रवेश गर्छ जसमा (script|jquery)-css.js नामको भ्रष्ट JavaScript समावेश हुन्छ र सोजसन, चिनियाँ-आधारित वेब सेवासँग अस्पष्ट हुन्छ। यो स्क्रिप्टको भूमिका भनेको प्रयोगकर्ता वैध लक्ष्य हो वा होइन भनेर निर्धारण गर्नु हो र त्यसो गर्नको लागि पेलोडले आगन्तुकमा डाटा स्क्र्याप गर्न थाल्छ र यसलाई HTTP GET अनुरोधहरू मार्फत loginwebmailnic.dynssl[.]com मा बाह्य सर्भरमा पठाउन थाल्छ:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

सर्भरबाट प्रतिक्रियाले सही वा गलत नतिजा फर्काउँछ, र यदि मान सही छ भने, आक्रमणको अर्को चरण ट्रिगर हुन्छ; अन्यथा, केहि हुँदैन।

दोस्रो चरणको बखत, (script|jquery)-file.js नामको JavaScript, जुन, फेरि, उही तरिकामा अस्पष्ट छ। यद्यपि, यस पटक ह्याकरहरूले v4 को सट्टा Sojson v5 प्रयोग गरे। प्रयोगकर्तालाई संक्रमित गर्न, होली वाटर एपीटीले कुनै पनि सफ्टवेयर कमजोरी वा कमजोरीहरूको शोषण गर्दैन। यसको सट्टा, फ्ल्यास प्लेयर अद्यावधिक प्रस्ताव गर्ने पप-अप विन्डो उत्पन्न हुन्छ र सम्भावित पीडितले फाइल डाउनलोड गर्न सहमत हुनुपर्छ।

होली वाटर एपीटीको मालवेयर उपकरणको आर्सेनल GitHub मा होस्ट गरिएको थियो

यदि प्रयोगकर्ताले नक्कली फ्ल्यास अपडेटलाई अगाडि बढ्न अनुमति दिन्छ भने, यसले github.com/AdobeFlash32/FlashUpdate मा अवस्थित अब सक्रिय GitHub भण्डारमा जडान गर्दछ। एक स्थापना प्याकेज, एक backdoor मालवेयर शोधकर्ताओं द्वारा नाम - उपकरण चार फरक सेट स्थान भण्डारण थिए Godlike12 , र खुला-स्रोत अजिङ्गर backdoor रूपमा चिनिने दुई संस्करण सिलाई परिमार्जन विस्तार कार्यक्षमता संग ह्याकरहरूलाई द्वारा थिए। अद्यावधिक प्याकेज एक NSIS स्थापनाकर्ता हो जसले वैध Windows Flash Player स्थापनाकर्ता र एक स्टेजर उपकरण छोड्छ जुन वास्तविक पेलोड लोड गर्न प्रयोग गरिन्छ। Godlike12 ब्याकडोर Go भाषामा लेखिएको छ र कमाण्ड र कन्ट्रोल (C&C, C2) सर्भरहरूमा Google ड्राइभ च्यानल लागू गर्न प्रयोग गरिन्छ। स्टिच ब्याकडोर भेरियन्टहरूको लागि, सामान्य ब्याकडोर गतिविधिहरू जस्तै जानकारी र पासवर्ड सङ्कलन, गतिविधि लगिङ, फाइल डाउनलोड, इत्यादिको अतिरिक्त, होली वाटर समूहले स्वत: अद्यावधिक गर्न वैध एडोब फ्ल्याश स्थापना कार्यक्रम डाउनलोड गर्ने क्षमता थप्यो। ubntrooters.serveuser.com बाट आफैं र निर्धारित कार्यहरूको लाभ उठाएर दृढता प्राप्त गर्नुहोस्।