Holy Water APT

Holy Water APT is de naam die is gegeven aan een groep cybercriminelen die een reeks aanvallen van het type waterput hebben uitgevoerd tegen een Aziatische religieuze en etnische groep. De TTP (Tactics, Techniques and Procedures) van deze specifieke aanval kon niet worden toegeschreven aan een van de reeds bekende ATP (Advanced Persistent Threat)-actoren, wat de onderzoekers tot de conclusie bracht dat dit een nieuwe cybercriminele groep is die kenmerken vertoont van een klein en flexibel team van hackers.

Om een waterpoelaanval uit te voeren, richten de criminelen zich op verschillende websites die regelmatig door de aangewezen doelen worden bezocht. De sites kunnen behoren tot organisaties, liefdadigheidsinstellingen of invloedrijke personen die tot de doelgroep behoren. Alle door Holy Water gecompromitteerde websites werden op dezelfde server gehost en omvatten onder meer een religieuze persoonlijkheid, liefdadigheid, vrijwilligerswerk en een organisatie voor eerlijke handel.

De aanval omvatte meerdere fasen

Bij het bezoeken van een gecompromitteerde website, komt de gebruiker in de eerste aanvalsfase die bestaat uit een beschadigd JavaScript genaamd (script|jquery)-css.js en versluierd met Sojson, een in China gebaseerde webservice. De rol van dit script is om te bepalen of de gebruiker een geldig doelwit is en om dit te doen, begint de payload met het verzamelen van gegevens over de bezoeker en stuurt deze naar een externe server op loginwebmailnic.dynssl[.]com via HTTP GET-verzoeken:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Het antwoord van de server retourneert een waar of onwaar resultaat, en als de waarde waar is, wordt de volgende fase van de aanval geactiveerd; anders gebeurt er niets.

Tijdens de tweede stap, een JavaScript genaamd (script|jquery)-file.js, dat wederom op dezelfde manier wordt verdoezeld. Deze keer gebruikten de hackers echter Sojson v5 in plaats van v4. Om de gebruiker te infecteren, maakt de Holy Water APT geen misbruik van softwarekwetsbaarheden of zwakke punten. In plaats daarvan wordt een pop-upvenster met een Flash Player-update gegenereerd en moet het potentiële slachtoffer akkoord gaan met het downloaden van het bestand.

Het arsenaal aan malwaretools van Holy Water APT werd gehost op GitHub

Als de gebruiker de nep-Flash-update laat doorgaan, maakt deze verbinding met een niet langer actieve GitHub-repository op github.com/AdobeFlash32/FlashUpdate . Vier verschillende sets tools werden op die locatie opgeslagen: een installatiepakket, een backdoor-malware genaamd door de onderzoekers Godlike12, en twee versies van een open-source Python-backdoor bekend als Stitch, die door de hackers werden aangepast met uitgebreide functionaliteit. Het updatepakket is een NSIS-installatieprogramma dat een legitiem Windows Flash Player-installatieprogramma laat vallen en een stager-tool die wordt gebruikt om de daadwerkelijke payload te laden. De achterdeur van Godlike12 is geschreven in Go-taal en wordt gebruikt om een Google Drive-kanaal te implementeren op de Command and Control (C&C, C2) servers. Wat betreft de Stitch-achterdeurvarianten, heeft de Holy Water-groep, naast de gebruikelijke achterdeuractiviteiten zoals het verzamelen van informatie en wachtwoorden, activiteitenregistratie, het downloaden van bestanden, de mogelijkheid toegevoegd om een legitiem Adobe Flash-installatieprogramma te downloaden om automatisch bij te werken. zichzelf van ubntrooters.serveuser.com en volharding bereiken door gebruik te maken van geplande taken.