புனித நீர் APT

ஹோலி வாட்டர் APT என்பது ஒரு ஆசிய மத மற்றும் இனக்குழுவிற்கு எதிராக தொடர்ச்சியான நீர் துளை வகை தாக்குதல்களை நடத்திய சைபர் குற்றவாளிகளின் குழுவிற்கு கொடுக்கப்பட்ட பெயர். இந்த குறிப்பிட்ட தாக்குதலின் TTP (தந்திரங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள்) ஏற்கனவே அறியப்பட்ட ATP (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) நடிகர்கள் எவருக்கும் காரணமாக இருக்க முடியாது, இது ஒரு புதிய சைபர் கிரைமினல் குழுவின் குணாதிசயங்களைக் காண்பிக்கும் முடிவுக்கு ஆராய்ச்சியாளர்களை இட்டுச் சென்றது. ஹேக்கர்களின் ஒரு சிறிய மற்றும் நெகிழ்வான குழு.

நீர்-துளை தாக்குதலை நடத்த, குற்றவாளிகள் பல இணையதளங்களை குறிவைக்கின்றனர், அவை அடிக்கடி நியமிக்கப்பட்ட இலக்குகளால் பார்வையிடப்படுகின்றன. தளங்கள் இலக்கு குழுவிற்கு சொந்தமான நிறுவனங்கள், தொண்டு நிறுவனங்கள் அல்லது செல்வாக்கு மிக்க நபர்களுக்கு சொந்தமானதாக இருக்கலாம். ஹோலி வாட்டரால் சமரசம் செய்யப்பட்ட அனைத்து வலைத்தளங்களும் ஒரே சேவையகத்தில் ஹோஸ்ட் செய்யப்பட்டன, மேலும் மத ஆளுமை, தொண்டு, தன்னார்வ சேவை திட்டம் மற்றும் நியாயமான வர்த்தக அமைப்பு ஆகியவை அடங்கும்.

தாக்குதல் பல நிலைகளை உள்ளடக்கியது

சமரசம் செய்யப்பட்ட இணையதளத்தைப் பார்வையிடும் போது, பயனர் முதல் தாக்குதல் கட்டத்தில் நுழைகிறார், அதில் (script|jquery) -css.js என்ற பெயரிடப்பட்ட பழுதடைந்த ஜாவாஸ்கிரிப்ட் உள்ளது மற்றும் சீன அடிப்படையிலான இணையச் சேவையான Sojson உடன் குழப்பமடைகிறது. இந்த ஸ்கிரிப்ட்டின் பணியானது, பயனர் சரியான இலக்காக உள்ளதா என்பதைத் தீர்மானிப்பது மற்றும் பேலோட் பார்வையாளரின் தரவை ஸ்கிராப்பிங் செய்து, HTTP GET கோரிக்கைகள் மூலம் loginwebmailnic.dynssl[.]com இல் உள்ள வெளிப்புற சேவையகத்திற்கு அனுப்பத் தொடங்குகிறது:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

சேவையகத்தின் பதில் உண்மை அல்லது தவறான முடிவைத் தரும், மேலும் மதிப்பு உண்மையாக இருந்தால், தாக்குதலின் அடுத்த கட்டம் தூண்டப்படும்; இல்லையெனில், எதுவும் நடக்காது.

இரண்டாவது படியின் போது, (script|jquery)-file.js என்ற பெயரிடப்பட்ட ஜாவாஸ்கிரிப்ட், மீண்டும் அதே முறையில் மழுங்கடிக்கப்பட்டது. இருப்பினும், இந்த முறை ஹேக்கர்கள் v4 க்குப் பதிலாக Sojson v5 ஐப் பயன்படுத்தியுள்ளனர். பயனரைப் பாதிக்க, ஹோலி வாட்டர் APT எந்த மென்பொருள் பாதிப்புகளையும் பலவீனங்களையும் பயன்படுத்தாது. அதற்கு பதிலாக, ஃப்ளாஷ் பிளேயர் புதுப்பிப்பை வழங்கும் பாப்-அப் சாளரம் உருவாக்கப்படுகிறது மற்றும் சாத்தியமான பாதிக்கப்பட்டவர் கோப்பைப் பதிவிறக்க ஒப்புக்கொள்ள வேண்டும்.

ஹோலி வாட்டர் APT இன் மால்வேர் கருவிகளின் ஆர்சனல் GitHub இல் ஹோஸ்ட் செய்யப்பட்டது

போலியான Flash புதுப்பிப்பைத் தொடர பயனர் அனுமதித்தால், அது github.com/AdobeFlash32/FlashUpdate இல் உள்ள செயலில் இல்லாத GitHub களஞ்சியத்துடன் இணைக்கப்படும். நான்கு வெவ்வேறு கருவிகள் அந்த இடத்தில் சேமிக்கப்பட்டன - ஒரு நிறுவி தொகுப்பு, Godlike12 ஆராய்ச்சியாளர்களால் பெயரிடப்பட்ட பின்கதவு தீம்பொருள் மற்றும் ஸ்டிட்ச் எனப்படும் திறந்த மூல பைதான் பின்கதவின் இரண்டு பதிப்புகள், அவை ஹேக்கர்களால் விரிவாக்கப்பட்ட செயல்பாடுகளுடன் மாற்றப்பட்டன. புதுப்பிப்பு தொகுப்பு என்பது ஒரு NSIS நிறுவி ஆகும், இது ஒரு முறையான Windows Flash Player நிறுவி மற்றும் உண்மையான பேலோடை ஏற்றுவதற்குப் பயன்படுத்தப்படும் ஒரு ஸ்டேஜர் கருவியாகும். Godlike12 பின்கதவு Go மொழியில் எழுதப்பட்டுள்ளது மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C&C, C2) சேவையகங்களுக்கு Google Drive சேனலை செயல்படுத்த பயன்படுகிறது. ஸ்டிட்ச் பின்கதவு மாறுபாடுகளைப் பொறுத்தவரை, தகவல் மற்றும் கடவுச்சொல் சேகரிப்பு, செயல்பாடு பதிவு செய்தல், கோப்புப் பதிவிறக்கம் போன்ற வழக்கமான பின்கதவு செயல்பாடுகளுக்கு கூடுதலாக, ஹோலி வாட்டர் குழுவானது ஒரு முறையான அடோப் ஃப்ளாஷ் நிறுவல் நிரலைப் பதிவிறக்கும் திறனைத் தானாகப் புதுப்பிக்கும் திறனைச் சேர்த்தது. ubntrooters.serveuser.com இலிருந்து தானாகவே திட்டமிடப்பட்ட பணிகளை மேம்படுத்துவதன் மூலம் நிலைத்தன்மையை அடையலாம்.