Holy Water APT

Holy Water APT är namnet på en grupp cyberkriminella som genomförde en serie attacker av vattenhålstyp mot en asiatisk religiös och etnisk grupp. TTP (Tactics, Techniques and Procedures) för denna speciella attack kunde inte tillskrivas någon av de redan kända ATP-aktörerna (Advanced Persistent Threat), vilket ledde forskarna till slutsatsen att detta är en ny cyberkriminell grupp som uppvisar egenskaper av ett litet och flexibelt team av hackare.

För att genomföra en vattenhålsattack riktar sig brottslingarna mot flera webbplatser som ofta besöks av de utpekade målen. Webbplatserna kan tillhöra organisationer, välgörenhetsorganisationer eller inflytelserika individer som tillhör målgruppen. Alla webbplatser som äventyrats av Holy Water hölls på samma server och inkluderade bland annat en religiös personlighet, välgörenhet, volontärtjänst och en rättvis handel-organisation.

Attacken inkluderade flera stadier

När användaren besöker en komprometterad webbplats går användaren in i det första attacksteget som består av ett korrupt JavaScript som heter (script|jquery)-css.js och fördunklas med Sojson, en kinesisk-baserad webbtjänst. Detta skripts roll är att avgöra om användaren är ett giltigt mål och för att göra det börjar nyttolasten skrapa data på besökaren och skicka den till en extern server på loginwebmailnic.dynssl[.]com genom HTTP GET-förfrågningar:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Svaret från servern returnerar ett sant eller falskt resultat, och om värdet är sant utlöses nästa steg av attacken; annars händer ingenting.

Under det andra steget, ett JavaScript som heter (script|jquery)-file.js, som återigen fördunklas på samma sätt. Men den här gången använde hackarna Sojson v5 istället för v4. För att infektera användaren, utnyttjar inte Holy Water APT några sårbarheter eller svagheter i programvaran. Istället genereras ett popup-fönster som erbjuder en uppdatering av Flash-spelaren och det potentiella offret måste gå med på att ladda ner filen.

Holy Water APT:s Arsenal of Malware Tools var värd på GitHub

Om användaren tillåter att den falska Flash-uppdateringen fortsätter, ansluter den till ett inte längre aktivt GitHub-förråd som finns på github.com/AdobeFlash32/FlashUpdate . Fyra olika uppsättningar verktyg lagrades på den platsen - ett installationspaket, en bakdörr skadlig kod namngiven av forskarna Godlike12 och två versioner av en öppen källkod Python-bakdörr känd som Stitch, som modifierades av hackarna med utökad funktionalitet. Uppdateringspaketet är ett NSIS-installationsprogram som släpper ett legitimt Windows Flash Player-installationsprogram och ett stager-verktyg som används för att ladda den faktiska nyttolasten. Godlike12-bakdörren är skriven på Go-språket och används för att implementera en Google Drive-kanal till Command and Control-servrarna (C&C, C2). När det gäller Stitch bakdörrsvarianter, utöver de vanliga bakdörrsaktiviteterna som information och lösenordsinsamling, aktivitetsloggning, filnedladdning etc., lade Holy Water-gruppen till möjligheten att ladda ner ett legitimt Adobe Flash-installationsprogram för att automatiskt uppdatera från ubntrooters.serveuser.com och uppnå uthållighet genom att utnyttja schemalagda uppgifter.