Apa Sfinta APT

Holy Water APT este numele dat unui grup de criminali cibernetici care au condus o serie de atacuri de tipul unei gropi de apă împotriva unui grup religios și etnic asiatic. TTP (Tactics, Techniques and Procedures) al acestui atac special nu a putut fi atribuit niciunuia dintre actorii deja cunoscuți ATP (Advanced Persistent Threat), ceea ce i-a determinat pe cercetători la concluzia că acesta este un nou grup de criminali cibernetici care prezintă caracteristici de o echipă mică și flexibilă de hackeri.

Pentru a efectua un atac cu o gaură de apă, infractorii vizează mai multe site-uri web care sunt vizitate frecvent de țintele desemnate. Site-urile pot aparține organizațiilor, organizațiilor de caritate sau persoanelor influente care aparțin grupului vizat. Toate site-urile web compromise de Holy Water au fost găzduite pe același server și au inclus o personalitate religioasă, caritate, program de servicii voluntare și o organizație de comerț echitabil, printre altele.

Atacul a inclus mai multe etape

La vizitarea unui site web compromis, utilizatorul intră în prima etapă de atac care constă dintr-un JavaScript corupt denumit (script|jquery)-css.js și ofuscat cu Sojson, un serviciu web bazat în China. Rolul acestui script este de a determina dacă utilizatorul este o țintă validă și pentru a face acest lucru, sarcina utilă începe să răzuiască datele despre vizitator și să le trimită la un server extern la loginwebmailnic.dynssl[.]com prin solicitări HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Răspunsul de la server returnează un rezultat adevărat sau fals, iar dacă valoarea este adevărată, se declanșează următoarea etapă a atacului; altfel nu se intampla nimic.

În timpul celui de-al doilea pas, un JavaScript numit (script|jquery)-file.js, care este, încă o dată, ofuscat în același mod. Cu toate acestea, de data aceasta hackerii au folosit Sojson v5 în loc de v4. Pentru a infecta utilizatorul, Holy Water APT nu exploatează nicio vulnerabilitate sau slăbiciune software. În schimb, este generată o fereastră pop-up care oferă o actualizare Flash player, iar potențiala victimă trebuie să fie de acord să descarce fișierul.

Arsenalul de instrumente malware de la Holy Water APT a fost găzduit pe GitHub

Dacă utilizatorul permite actualizarea falsă Flash să continue, se conectează la un depozit GitHub care nu mai este activ, situat la github.com/AdobeFlash32/FlashUpdate . Patru seturi diferite de instrumente au fost stocate în acea locație - un pachet de instalare, un malware backdoor numit de cercetătorii Godlike12 și două versiuni ale unei backdoor Python open-source cunoscute sub numele de Stitch , care au fost modificate de hackeri cu funcționalități extinse. Pachetul de actualizare este un program de instalare NSIS care elimină un program de instalare Windows Flash Player legitim și un instrument stager care este utilizat pentru a încărca sarcina utilă reală. Ușa din spate Godlike12 este scrisă în limba Go și este folosită pentru a implementa un canal Google Drive pe serverele de comandă și control (C&C, C2). În ceea ce privește variantele Stitch backdoor, pe lângă activitățile obișnuite de backdoor, cum ar fi colectarea de informații și parole, înregistrarea activităților, descărcarea fișierelor etc., grupul Holy Water a adăugat posibilitatea de a descărca un program de instalare Adobe Flash legitim, pentru a se actualiza automat. de la ubntrooters.serveuser.com și obține persistență prin valorificarea sarcinilor programate.