Света вода АПТ

Холи Ватер АПТ је име дато групи сајбер криминалаца који су спровели серију напада типа водене рупе на азијску верску и етничку групу. ТТП (Тацтицс, Тецхникуес анд Процедурес) овог конкретног напада не може се приписати ниједном од већ познатих АТП (Адванцед Персистент Тхреат) актера, што је довело истраживаче до закључка да се ради о новој групи сајбер криминалаца која показује карактеристике мали и флексибилни тим хакера.

Да би извршили напад из водене рупе, криминалци циљају неколико веб локација које често посећују одређене мете. Сајтови могу припадати организацијама, добротворним организацијама или утицајним појединцима који припадају циљаној групи. Све веб странице које је угрозила Света вода биле су хостоване на истом серверу и укључивале су, између осталог, религиозну личност, добротворну организацију, програм добровољног служења и организацију фер трговине.

Напад је укључивао више фаза

Након посете компромитованој веб локацији, корисник улази у прву фазу напада која се састоји од оштећеног ЈаваСцрипт-а под називом (сцрипт|јкуери)-цсс.јс и замагљеног Сојсон-ом, кинеском веб-услугом. Улога ове скрипте је да утврди да ли је корисник исправан циљ и да то уради, корисни терет почиње да сакупља податке о посетиоцу и шаље их спољном серверу на логинвебмаилниц.динссл[.]цом преко ХТТП ГЕТ захтева:

хттпс://логинвебмаилниц.динссл[.]цом/алл/цонтент.пхп?јсонцаллбацк=&ланип=&ванип=&урлпатх=&_=

Одговор сервера враћа тачан или нетачан резултат, а ако је вредност тачна, покреће се следећа фаза напада; иначе се ништа не дешава.

Током другог корака, ЈаваСцрипт под називом (сцрипт|јкуери)-филе.јс, који је, још једном, замаскиран на исти начин. Међутим, овог пута су хакери користили Сојсон в5 уместо в4. Да би заразио корисника, Холи Ватер АПТ не искоришћава никакве рањивости или слабости софтвера. Уместо тога, генерише се искачући прозор који нуди ажурирање Фласх плејера и потенцијална жртва мора да пристане да преузме датотеку.

Арсенал алата за злонамерни софтвер Холи Ватер АПТ-а био је хостован на ГитХуб-у

Ако корисник дозволи да се лажно ажурирање Фласх-а настави, он се повезује са ГитХуб репозиторијумом који више није активан који се налази на гитхуб.цом/АдобеФласх32/ФласхУпдате . Четири различита скупа алата била су ускладиштена на тој локацији – пакет за инсталацију, бекдор малвер који су истраживачи назвали Годлике12 и две верзије отвореног кода Питхон бацкдоор познатог као Ститцх , које су хакери модификовали са проширеном функционалношћу. Пакет за ажурирање је НСИС инсталатер који испушта легитимни Виндовс Фласх Плаиер инсталатер и стагер алат који се користи за учитавање стварног корисног оптерећења. Годлике12 бацкдоор је написан на језику Го и користи се за имплементацију канала Гоогле диска на сервере за команду и контролу (Ц&Ц, Ц2). Што се тиче Ститцх бацкдоор варијанти, поред уобичајених бацкдоор активности као што су прикупљање информација и лозинки, евидентирање активности, преузимање датотека, итд., група Света вода је додала могућност преузимања легитимног Адобе Фласх инсталационог програма за аутоматско ажурирање себе са убнтроотерс.сервеусер.цом и постићи упорност коришћењем заказаних задатака.