Holy Water APT

Holy Water APT to nazwa nadana grupie cyberprzestępców, którzy przeprowadzili serię ataków typu wodopoj na azjatycką grupę religijną i etniczną. TTP (taktyki, techniki i procedury) tego konkretnego ataku nie można było przypisać żadnemu z już znanych aktorów ATP (Advanced Persistent Threat), co doprowadziło badaczy do wniosku, że jest to nowa grupa cyberprzestępcza, która wykazuje cechy mały i elastyczny zespół hakerów.

Aby przeprowadzić atak wodopoju, przestępcy atakują kilka stron internetowych, które są często odwiedzane przez wyznaczone cele. Witryny mogą należeć do organizacji, organizacji charytatywnych lub wpływowych osób należących do grupy docelowej. Wszystkie strony internetowe naruszone przez Holy Water były hostowane na tym samym serwerze i zawierały między innymi osobowość religijną, organizacje charytatywne, program wolontariatu i organizację sprawiedliwego handlu.

Atak obejmował wiele etapów

Po odwiedzeniu zaatakowanej witryny użytkownik wchodzi w pierwszy etap ataku, który składa się z uszkodzonego kodu JavaScript o nazwie (script|jquery)-css.js i zaciemnionego przez Sojson, usługę sieciową opartą na języku chińskim. Rolą tego skryptu jest określenie, czy użytkownik jest prawidłowym celem i aby to zrobić, ładunek zaczyna zbierać dane odwiedzającego i wysyłać je do zewnętrznego serwera pod adresem loginwebmailnic.dynssl[.]com za pośrednictwem żądań HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Odpowiedź z serwera zwraca wynik prawda lub fałsz, a jeśli wartość jest prawdziwa, uruchamiany jest kolejny etap ataku; w przeciwnym razie nic się nie dzieje.

Podczas drugiego kroku, JavaScript o nazwie (script|jquery)-file.js, który jest ponownie zaciemniany w ten sam sposób. Jednak tym razem hakerzy użyli Sojson v5 zamiast v4. Aby zainfekować użytkownika, Holy Water APT nie wykorzystuje żadnych luk ani słabości oprogramowania. Zamiast tego generowane jest wyskakujące okienko oferujące aktualizację odtwarzacza Flash, a potencjalna ofiara musi wyrazić zgodę na pobranie pliku.

Arsenał złośliwego oprogramowania firmy Holy Water APT był hostowany na GitHub

Jeśli użytkownik zezwoli na kontynuowanie fałszywej aktualizacji Flash, łączy się z nieaktywnym już repozytorium GitHub znajdującym się pod adresem github.com/AdobeFlash32/FlashUpdate . W tej lokalizacji przechowywane były cztery różne zestawy narzędzi — pakiet instalacyjny, szkodliwe oprogramowanie typu backdoor nazwane przez badaczy Godlike12 oraz dwie wersje backdoora Pythona o otwartym kodzie źródłowym, znanego jako Stitch, które zostały zmodyfikowane przez hakerów w celu uzyskania rozszerzonej funkcjonalności. Pakiet aktualizacji to instalator NSIS, który usuwa legalny instalator Windows Flash Player i narzędzie popychające, które jest używane do ładowania rzeczywistego ładunku. Backdoor Godlike12 jest napisany w języku Go i służy do implementacji kanału Dysku Google na serwerach Command and Control (C&C, C2). Jeśli chodzi o warianty backdoora Stitch, oprócz zwykłych czynności backdoora, takich jak zbieranie informacji i haseł, rejestrowanie aktywności, pobieranie plików itp., grupa Holy Water dodała możliwość pobrania legalnego programu instalacyjnego Adobe Flash w celu automatycznej aktualizacji się z ubntrooters.serveuser.com i osiągnij trwałość, wykorzystując zaplanowane zadania.