Holy Water APT

O Holy Water APT é o nome dado a um grupo de cibercriminosos que conduziu uma série de ataques do tipo buraco de água contra um grupo étnico e religioso asiático. O TTP (Táticas, Técnicas e Procedimentos) desse ataque em particular não pode ser atribuído a nenhum dos grupos ATP (Advanced Persistent Threat) já conhecidos, o que levou os pesquisadores à conclusão de que esse é um novo grupo cibercriminoso que apresenta características de uma pequena e flexível equipe de hackers.

Para conduzir um ataque de buraco de água, os criminosos visam vários sites que são visitados pelos alvos designados com frequência. Os sites podem pertencer a organizações, instituições de caridade ou indivíduos influentes que pertencem ao grupo-alvo. Todos os sites comprometidos pelo Holy Water foram hospedados no mesmo servidor e incluíam uma personalidade religiosa, caridade, programa de serviço voluntário ou uma organização de comércio justo, entre outros.

O Ataque Incluiu Vários Estágios

Ao visitar um site comprometido, o usuário entra no primeiro estágio do ataque que consiste em um JavaScript corrompido chamado (script|jquery)-css.js e ofuscado com Sojson, um serviço da Web baseado em chinês. A função desse script é determinar se o usuário é um destino válido e, para isso, a carga útil começa a coletar dados do visitante e enviá-los a um servidor externo no loginwebmailnic.dynssl[.]com por meio de solicitações HTTP GET:

https: //loginwebmailnic.dynssl [.] com / all / content.php? jsoncallback = & lanip = & wanip = & urlpath = & _ =

A resposta do servidor retorna um resultado verdadeiro ou falso e, se o valor for verdadeiro, o próximo estágio do ataque é disparado; caso contrário, nada acontece.

Durante a segunda etapa, um JavaScript denominado (script| query)-file.j é, mais uma vez, ofuscado da mesma maneira. No entanto, desta vez os hackers usaram Sojson v5 em vez de v4. Para infectar o usuário, o Holy Water APT não explora nenhuma vulnerabilidade ou fraqueza do software. Em vez disso, uma janela pop-up oferecendo uma atualização do Flash player é gerada e a vítima em potencial deve concordar em baixar o arquivo.

O Arsenal de Ferramentas de Malware do Holy Water APT estava Hospedado no GitHub

Se o usuário permitir que a atualização falsa do Flash prossiga, ele se conecta a um repositório GitHub não mais ativo, localizado em github.com/AdobeFlash32/FlashUpdate . Quatro conjuntos diferentes de ferramentas foram armazenados naquele local - um pacote de instalação, um malware de backdoor denominado pelos pesquisadores Godlike12 e duas versões de um backdoor do Python de código aberto conhecido como Stitch, que foram modificados pelos hackers com funcionalidade expandida. O pacote de atualização é um instalador NSIS que descarta um instalador legítimo do Windows Flash Player e uma ferramenta de teste que é usada para carregar a carga real. O backdoor Godlike12 é escrito na linguagem Go e é usado para implementar um canal do Google Drive para os servidores de Comando e Controle (C&C, C2). Quanto às variantes de backdoor do Stitch, além das atividades normais de backdoor, como coleta de informações e senha, registro de atividades, download de arquivos, etc., o grupo Holy Water adicionou a capacidade de baixar um programa legítimo de instalação do Adobe Flash para atualização automática a partir de ubntrooters.serveuser.com e obtenha persistência aproveitando as tarefas agendadas.