Sveta voda APT

Holy Water APT je ime skupini kibernetičnih kriminalcev, ki je izvedla vrsto napadov tipa vodne luknje na azijsko versko in etnično skupino. TTP (Tactics, Techniques and Procedures) tega posebnega napada ni bilo mogoče pripisati nobenemu od že znanih akterjev ATP (Advanced Persistent Threat), zaradi česar so raziskovalci ugotovili, da gre za novo kibernetično kriminalno skupino, ki kaže značilnosti majhna in prilagodljiva ekipa hekerjev.

Za izvedbo napada iz vodne luknje kriminalci ciljajo na več spletnih mest, ki jih določene tarče pogosto obiščejo. Spletna mesta lahko pripadajo organizacijam, dobrodelnim ustanovam ali vplivnim posameznikom, ki pripadajo ciljni skupini. Vsa spletna mesta, ki jih je ogrožala Sveta voda, so gostovala na istem strežniku in med drugim vključevala versko osebnost, dobrodelnost, program prostovoljnih storitev in organizacijo pravične trgovine.

Napad je vključeval več stopenj

Ob obisku ogroženega spletnega mesta uporabnik vstopi v prvo fazo napada, ki je sestavljena iz poškodovanega JavaScripta z imenom (script|jquery)-css.js in zakrit s Sojson, kitajsko spletno storitev. Vloga tega skripta je ugotoviti, ali je uporabnik veljaven cilj, in da to stori, bo koristna obremenitev začela strgati podatke o obiskovalcu in jih pošiljati zunanjemu strežniku na loginwebmailnic.dynssl[.]com prek zahtev HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Odgovor strežnika vrne resničen ali napačen rezultat, in če je vrednost resnična, se sproži naslednja faza napada; drugače se ne zgodi nič.

V drugem koraku, JavaScript z imenom (script|jquery)-file.js, ki je ponovno zakrit na enak način. Vendar so tokrat hekerji namesto v4 uporabili Sojson v5. Da bi okužil uporabnika, Holy Water APT ne izkorišča nobenih ranljivosti ali slabosti programske opreme. Namesto tega se ustvari pojavno okno, ki ponuja posodobitev predvajalnika Flash in potencialna žrtev se mora strinjati s prenosom datoteke.

Arzenal orodij za zlonamerno programsko opremo Holy Water APT je gostoval na GitHubu

Če uporabnik dovoli nadaljevanje lažne posodobitve Flasha, se ta poveže z neaktivnim skladiščem GitHub, ki se nahaja na github.com/AdobeFlash32/FlashUpdate . Na tej lokaciji so bili shranjeni štirje različni nabori orodij – namestitveni paket, zlonamerna programska oprema za zaledja , ki so jo poimenovali raziskovalci Godlike12, in dve različici odprtokodnega zaledja Python, znanega kot Stitch , ki so ju hekerji spremenili z razširjeno funkcionalnostjo. Posodobitveni paket je namestitveni program NSIS, ki izpusti zakonit namestitveni program Windows Flash Player in orodje za pomikanje, ki se uporablja za nalaganje dejanskega tovora. Godlike12 backdoor je napisan v jeziku Go in se uporablja za implementacijo kanala Google Drive v strežnike za upravljanje in nadzor (C&C, C2). Kar zadeva različice zalednih vrat Stitch, je poleg običajnih dejavnosti v zaledju, kot so zbiranje informacij in gesel, beleženje dejavnosti, prenos datotek itd., skupina Sveta voda dodala možnost prenosa zakonitega namestitvenega programa Adobe Flash za samodejno posodabljanje iz ubntrooters.serveuser.com in doseže obstojnost z uporabo načrtovanih opravil.