ਪਵਿੱਤਰ ਪਾਣੀ APT

ਹੋਲੀ ਵਾਟਰ ਏਪੀਟੀ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜਿਸਨੇ ਇੱਕ ਏਸ਼ੀਆਈ ਧਾਰਮਿਕ ਅਤੇ ਨਸਲੀ ਸਮੂਹ ਦੇ ਵਿਰੁੱਧ ਵਾਟਰ-ਹੋਲ ਕਿਸਮ ਦੇ ਹਮਲੇ ਕੀਤੇ। ਇਸ ਵਿਸ਼ੇਸ਼ ਹਮਲੇ ਦੀ ਟੀਟੀਪੀ (ਟੈਕਟਿਕਸ, ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ) ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਜਾਣੇ ਜਾਂਦੇ ਕਿਸੇ ਵੀ ਏਟੀਪੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਐਕਟਰ ਨੂੰ ਨਹੀਂ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਕਾਰਨ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਇਸ ਸਿੱਟੇ 'ਤੇ ਪਹੁੰਚਾਇਆ ਗਿਆ ਹੈ ਕਿ ਇਹ ਇੱਕ ਨਵਾਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਹੈ ਜੋ ਕਿ ਹੈਕਰਾਂ ਦੀ ਇੱਕ ਛੋਟੀ ਅਤੇ ਲਚਕਦਾਰ ਟੀਮ।

ਵਾਟਰ-ਹੋਲ ਅਟੈਕ ਕਰਨ ਲਈ, ਅਪਰਾਧੀ ਕਈ ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਟੀਚਿਆਂ ਦੁਆਰਾ ਅਕਸਰ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ। ਸਾਈਟਾਂ ਸੰਸਥਾਵਾਂ, ਚੈਰਿਟੀ ਜਾਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਵਿਅਕਤੀਆਂ ਨਾਲ ਸਬੰਧਤ ਹੋ ਸਕਦੀਆਂ ਹਨ ਜੋ ਨਿਸ਼ਾਨਾ ਸਮੂਹ ਨਾਲ ਸਬੰਧਤ ਹਨ। ਹੋਲੀ ਵਾਟਰ ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਰੀਆਂ ਵੈਬਸਾਈਟਾਂ ਇੱਕੋ ਸਰਵਰ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ ਅਤੇ ਇਸ ਵਿੱਚ ਇੱਕ ਧਾਰਮਿਕ ਸ਼ਖਸੀਅਤ, ਚੈਰਿਟੀ, ਸਵੈ-ਇੱਛਤ ਸੇਵਾ ਪ੍ਰੋਗਰਾਮ, ਅਤੇ ਇੱਕ ਨਿਰਪੱਖ ਵਪਾਰਕ ਸੰਗਠਨ, ਹੋਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਸਨ।

ਹਮਲੇ ਵਿੱਚ ਕਈ ਪੜਾਅ ਸ਼ਾਮਲ ਹਨ

ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਾਣ 'ਤੇ, ਉਪਭੋਗਤਾ ਪਹਿਲੇ ਹਮਲੇ ਦੇ ਪੜਾਅ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਖਰਾਬ JavaScript (script|jquery)-css.js ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਅਤੇ ਸੋਜਸਨ, ਇੱਕ ਚੀਨੀ-ਅਧਾਰਤ ਵੈੱਬ ਸੇਵਾ ਨਾਲ ਗੁੰਝਲਦਾਰ ਹੁੰਦੀ ਹੈ। ਇਸ ਸਕ੍ਰਿਪਟ ਦੀ ਭੂਮਿਕਾ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨਾ ਹੈ ਕਿ ਕੀ ਉਪਭੋਗਤਾ ਇੱਕ ਵੈਧ ਨਿਸ਼ਾਨਾ ਹੈ ਅਤੇ ਅਜਿਹਾ ਕਰਨ ਲਈ ਪੇਲੋਡ ਵਿਜ਼ਟਰ ਦੇ ਡੇਟਾ ਨੂੰ ਸਕ੍ਰੈਪ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ HTTP GET ਬੇਨਤੀਆਂ ਦੁਆਰਾ loginwebmailnic.dynssl[.]com 'ਤੇ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨੂੰ ਭੇਜਣਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

ਸਰਵਰ ਤੋਂ ਜਵਾਬ ਇੱਕ ਸਹੀ ਜਾਂ ਗਲਤ ਨਤੀਜਾ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਜੇਕਰ ਮੁੱਲ ਸਹੀ ਹੈ, ਤਾਂ ਹਮਲੇ ਦਾ ਅਗਲਾ ਪੜਾਅ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦਾ ਹੈ; ਨਹੀਂ ਤਾਂ, ਕੁਝ ਨਹੀਂ ਹੁੰਦਾ।

ਦੂਜੇ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, (script|jquery)-file.js ਨਾਮ ਦੀ ਇੱਕ JavaScript, ਜੋ ਕਿ, ਇੱਕ ਵਾਰ ਫਿਰ, ਉਸੇ ਤਰੀਕੇ ਨਾਲ ਗੁੰਝਲਦਾਰ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸ ਵਾਰ ਹੈਕਰਾਂ ਨੇ v4 ਦੀ ਬਜਾਏ Sojson v5 ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਉਪਭੋਗਤਾ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ, ਹੋਲੀ ਵਾਟਰ ਏਪੀਟੀ ਕਿਸੇ ਵੀ ਸੌਫਟਵੇਅਰ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਜਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਇਸਦੀ ਬਜਾਏ, ਫਲੈਸ਼ ਪਲੇਅਰ ਅੱਪਡੇਟ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੀ ਇੱਕ ਪੌਪ-ਅੱਪ ਵਿੰਡੋ ਤਿਆਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਸੰਭਾਵੀ ਪੀੜਤ ਨੂੰ ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਸਹਿਮਤ ਹੋਣਾ ਪੈਂਦਾ ਹੈ।

ਹੋਲੀ ਵਾਟਰ ਏਪੀਟੀ ਦੇ ਮਾਲਵੇਅਰ ਟੂਲਸ ਦੇ ਆਰਸਨਲ ਨੂੰ ਗਿੱਟਹੱਬ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਸੀ

ਜੇਕਰ ਉਪਭੋਗਤਾ ਜਾਅਲੀ ਫਲੈਸ਼ ਅੱਪਡੇਟ ਨੂੰ ਅੱਗੇ ਵਧਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਤਾਂ ਇਹ github.com/AdobeFlash32/FlashUpdate 'ਤੇ ਸਥਿਤ GitHub ਰਿਪੋਜ਼ਟਰੀ ਨਾਲ ਜੁੜਦਾ ਹੈ । ਇੱਕ ਇੰਸਟਾਲਰ ਪੈਕੇਜ, ਇੱਕ ਘਟੀਆ ਮਾਲਵੇਅਰ ਖੋਜਕਾਰ ਕੇ ਨਾਮ - ਸੰਦ ਦੇ ਚਾਰ ਵੱਖ-ਵੱਖ ਸੈੱਟ ਹੈ, ਜੋ ਕਿ ਸਥਿਤੀ 'ਤੇ ਸਟੋਰ ਕੀਤਾ ਗਿਆ ਸੀ Godlike12 ਹੈ, ਅਤੇ ਇੱਕ ਓਪਨ-ਸਰੋਤ ਪਾਇਥਨ ਘਟੀਆ ਦੇ ਤੌਰ ਤੇ ਜਾਣਿਆ ਦੇ ਦੋ ਵਰਜਨ ਸਟਿਚ ਹੈ, ਜੋ ਕਿ ਫੈਲਾ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨਾਲ ਹੈਕਰ ਨੇ ਸੋਧਿਆ ਗਿਆ ਸੀ. ਅੱਪਡੇਟ ਪੈਕੇਜ ਇੱਕ NSIS ਇੰਸਟਾਲਰ ਹੈ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਫਲੈਸ਼ ਪਲੇਅਰ ਇੰਸਟੌਲਰ ਅਤੇ ਇੱਕ ਸਟੇਜਰ ਟੂਲ ਨੂੰ ਛੱਡਦਾ ਹੈ ਜੋ ਅਸਲ ਪੇਲੋਡ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। Godlike12 ਬੈਕਡੋਰ ਗੋ ਭਾਸ਼ਾ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C&C, C2) ਸਰਵਰਾਂ ਲਈ ਇੱਕ Google ਡਰਾਈਵ ਚੈਨਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਸਟੀਚ ਬੈਕਡੋਰ ਵੇਰੀਐਂਟਸ ਲਈ, ਆਮ ਬੈਕਡੋਰ ਗਤੀਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ਜਾਣਕਾਰੀ ਅਤੇ ਪਾਸਵਰਡ ਇਕੱਠਾ ਕਰਨਾ, ਗਤੀਵਿਧੀ ਲੌਗਿੰਗ, ਫਾਈਲ ਡਾਉਨਲੋਡ, ਆਦਿ ਤੋਂ ਇਲਾਵਾ, ਹੋਲੀ ਵਾਟਰ ਗਰੁੱਪ ਨੇ ਆਟੋ-ਅੱਪਡੇਟ ਕਰਨ ਲਈ ਇੱਕ ਜਾਇਜ਼ ਅਡੋਬ ਫਲੈਸ਼ ਇੰਸਟਾਲੇਸ਼ਨ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਕੀਤੀ ਹੈ। ਖੁਦ ubntrooters.serveuser.com ਤੋਂ ਅਤੇ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਦਾ ਲਾਭ ਲੈ ਕੇ ਨਿਰੰਤਰਤਾ ਪ੍ਰਾਪਤ ਕਰੋ।