Святая вода АПТ

Holy Water APT — это название, данное группе киберпреступников, которые провели серию атак типа водяных дыр против азиатской религиозной и этнической группы. TTP (тактика, методы и процедуры) этой конкретной атаки не могут быть отнесены ни к одному из уже известных участников ATP (Advanced Persistent Threat), что привело исследователей к выводу, что это новая группа киберпреступников, которая демонстрирует характеристики небольшая и гибкая команда хакеров.

Для проведения атаки «водяная дыра» преступники атакуют несколько веб-сайтов, которые часто посещают назначенные цели. Сайты могут принадлежать организациям, благотворительным организациям или влиятельным лицам, входящим в целевую группу. Все веб-сайты, скомпрометированные Holy Water, были размещены на одном сервере и включали в себя, среди прочего, религиозное лицо, благотворительную организацию, программу добровольного служения и организацию справедливой торговли.

Атака включала несколько этапов

При посещении скомпрометированного веб-сайта пользователь попадает на первую стадию атаки, которая состоит из поврежденного кода JavaScript с именем (script|jquery)-css.js и обфускации с помощью китайской веб-службы Sojson. Роль этого скрипта состоит в том, чтобы определить, является ли пользователь допустимой целью, и для этого полезная нагрузка начинает очищать данные о посетителе и отправлять их на внешний сервер по адресу loginwebmailnic.dynssl[.]com через HTTP-запросы GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Ответ от сервера возвращает истинный или ложный результат, и если значение истинно, запускается следующий этап атаки; в противном случае ничего не происходит.

На втором этапе создается JavaScript с именем (script|jquery)-file.js, который снова запутывается таким же образом. Однако на этот раз хакеры использовали Sojson v5 вместо v4. Для заражения пользователя Holy Water APT не использует какие-либо программные уязвимости или слабости. Вместо этого создается всплывающее окно с предложением обновления Flash player, и потенциальная жертва должна согласиться на загрузку файла.

Арсенал вредоносных программ Holy Water APT был размещен на GitHub

Если пользователь разрешает фальшивое обновление Flash, оно подключается к более неактивному репозиторию GitHub, расположенному по адресу github.com/AdobeFlash32/FlashUpdate . В этом месте хранились четыре различных набора инструментов — установочный пакет, вредоносное ПО с бэкдором , названное исследователями Godlike12, и две версии бэкдора Python с открытым исходным кодом, известного как Stitch , которые были модифицированы хакерами с расширенным функционалом. Пакет обновления представляет собой установщик NSIS, который сбрасывает законный установщик Windows Flash Player и инструмент подготовки, который используется для загрузки фактической полезной нагрузки. Бэкдор Godlike12 написан на языке Go и используется для реализации канала Google Диска к серверам управления и контроля (C&C, C2). Что касается вариантов бэкдора Stitch, в дополнение к обычным действиям бэкдора, таким как сбор информации и паролей, ведение журнала активности, загрузка файлов и т. д., группа Holy Water добавила возможность загрузки законной программы установки Adobe Flash для автоматического обновления. себя из ubntrooters.serveuser.com и добиться постоянства, используя запланированные задачи.