పవిత్ర జలం APT
హోలీ వాటర్ APT అనేది సైబర్ నేరస్థుల సమూహానికి ఇవ్వబడిన పేరు, ఇది ఆసియా మత మరియు జాతి సమూహంపై వరుస నీటి-రంధ్రమైన దాడులను నిర్వహించింది. ఈ నిర్దిష్ట దాడి యొక్క TTP (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) ఇప్పటికే తెలిసిన ATP (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) నటులలో ఎవరికీ ఆపాదించబడలేదు, ఇది కొత్త సైబర్క్రిమినల్ గ్రూప్ అని నిర్ధారించడానికి పరిశోధకులు దారితీసింది. హ్యాకర్ల యొక్క చిన్న మరియు సౌకర్యవంతమైన బృందం.
నీటి-రంధ్ర దాడిని నిర్వహించడానికి, నేరస్థులు నిర్దేశించిన లక్ష్యాలు తరచుగా సందర్శించే అనేక వెబ్సైట్లను లక్ష్యంగా చేసుకుంటారు. సైట్లు లక్ష్యంగా చేసుకున్న సమూహానికి చెందిన సంస్థలు, స్వచ్ఛంద సంస్థలు లేదా ప్రభావవంతమైన వ్యక్తులకు చెందినవి కావచ్చు. పవిత్ర జలం ద్వారా రాజీపడిన అన్ని వెబ్సైట్లు ఒకే సర్వర్లో హోస్ట్ చేయబడ్డాయి మరియు ఇతర వాటిలో మతపరమైన వ్యక్తిత్వం, స్వచ్ఛంద సేవా కార్యక్రమం మరియు న్యాయమైన వాణిజ్య సంస్థ ఉన్నాయి.
దాడి అనేక దశలను కలిగి ఉంది
రాజీపడిన వెబ్సైట్ను సందర్శించిన తర్వాత, వినియోగదారు మొదటి దాడి దశలోకి ప్రవేశిస్తారు, అది (స్క్రిప్ట్|jquery)-css.js పేరుతో పాడైన జావాస్క్రిప్ట్ను కలిగి ఉంటుంది మరియు చైనీస్ ఆధారిత వెబ్ సేవ అయిన Sojsonతో అస్పష్టంగా ఉంటుంది. వినియోగదారు చెల్లుబాటు అయ్యే లక్ష్యం కాదా అని నిర్ధారించడం మరియు అలా చేయడం కోసం పేలోడ్ సందర్శకుడిపై డేటాను స్క్రాప్ చేయడం మరియు HTTP GET అభ్యర్థనల ద్వారా loginwebmailnic.dynssl[.]comలోని బాహ్య సర్వర్కు పంపడం ప్రారంభించడం ఈ స్క్రిప్ట్ పాత్ర:
https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=
సర్వర్ నుండి ప్రతిస్పందన నిజమైన లేదా తప్పుడు ఫలితాన్ని అందిస్తుంది మరియు విలువ నిజమైతే, దాడి యొక్క తదుపరి దశ ప్రేరేపించబడుతుంది; లేకపోతే, ఏమీ జరగదు.
రెండవ దశలో, జావాస్క్రిప్ట్ (script|jquery)-file.js అని పేరు పెట్టబడింది, ఇది మరోసారి అదే పద్ధతిలో అస్పష్టంగా ఉంటుంది. అయితే, ఈసారి హ్యాకర్లు v4కి బదులుగా Sojson v5ని ఉపయోగించారు. వినియోగదారుని ఇన్ఫెక్ట్ చేయడానికి, హోలీ వాటర్ APT ఎటువంటి సాఫ్ట్వేర్ దుర్బలత్వాలను లేదా బలహీనతలను ఉపయోగించదు. బదులుగా, ఫ్లాష్ ప్లేయర్ నవీకరణను అందించే పాప్-అప్ విండో రూపొందించబడింది మరియు సంభావ్య బాధితుడు ఫైల్ను డౌన్లోడ్ చేయడానికి అంగీకరించాలి.
హోలీ వాటర్ APT యొక్క ఆర్సెనల్ ఆఫ్ మాల్వేర్ టూల్స్ GitHubలో హోస్ట్ చేయబడింది
వినియోగదారు నకిలీ ఫ్లాష్ అప్డేట్ని కొనసాగించడానికి అనుమతిస్తే, అది github.com/AdobeFlash32/FlashUpdate వద్ద ఉన్న సక్రియం కాని GitHub రిపోజిటరీకి కనెక్ట్ అవుతుంది. ఆ ప్రదేశంలో నాలుగు వేర్వేరు సెట్ల సాధనాలు నిల్వ చేయబడ్డాయి - ఇన్స్టాలర్ ప్యాకేజీ, పరిశోధకులు Godlike12 అనే బ్యాక్డోర్ మాల్వేర్ మరియు స్టిచ్ అని పిలువబడే ఓపెన్-సోర్స్ పైథాన్ బ్యాక్డోర్ యొక్క రెండు వెర్షన్లు , వీటిని హ్యాకర్లు విస్తరించిన కార్యాచరణతో సవరించారు. అప్డేట్ ప్యాకేజీ అనేది NSIS ఇన్స్టాలర్, ఇది చట్టబద్ధమైన Windows Flash Player ఇన్స్టాలర్ను మరియు వాస్తవ పేలోడ్ను లోడ్ చేయడానికి ఉపయోగించే స్టేజర్ సాధనాన్ని తగ్గిస్తుంది. Godlike12 బ్యాక్డోర్ గో భాషలో వ్రాయబడింది మరియు కమాండ్ మరియు కంట్రోల్ (C&C, C2) సర్వర్లకు Google డ్రైవ్ ఛానెల్ని అమలు చేయడానికి ఉపయోగించబడుతుంది. స్టిచ్ బ్యాక్డోర్ వేరియంట్ల విషయానికొస్తే, సమాచారం మరియు పాస్వర్డ్ సేకరణ, యాక్టివిటీ లాగింగ్, ఫైల్ డౌన్లోడ్ మొదలైన సాధారణ బ్యాక్డోర్ కార్యకలాపాలతో పాటు, హోలీ వాటర్ గ్రూప్ ఆటో-అప్డేట్ చేయడానికి చట్టబద్ధమైన Adobe Flash ఇన్స్టాలేషన్ ప్రోగ్రామ్ను డౌన్లోడ్ చేసే సామర్థ్యాన్ని జోడించింది. ubntrooters.serveuser.com నుండి మరియు షెడ్యూల్ చేయబడిన టాస్క్లను పెంచడం ద్వారా పట్టుదలను సాధించండి.