పవిత్ర జలం APT

హోలీ వాటర్ APT అనేది సైబర్ నేరస్థుల సమూహానికి ఇవ్వబడిన పేరు, ఇది ఆసియా మత మరియు జాతి సమూహంపై వరుస నీటి-రంధ్రమైన దాడులను నిర్వహించింది. ఈ నిర్దిష్ట దాడి యొక్క TTP (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) ఇప్పటికే తెలిసిన ATP (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) నటులలో ఎవరికీ ఆపాదించబడలేదు, ఇది కొత్త సైబర్‌క్రిమినల్ గ్రూప్ అని నిర్ధారించడానికి పరిశోధకులు దారితీసింది. హ్యాకర్ల యొక్క చిన్న మరియు సౌకర్యవంతమైన బృందం.

నీటి-రంధ్ర దాడిని నిర్వహించడానికి, నేరస్థులు నిర్దేశించిన లక్ష్యాలు తరచుగా సందర్శించే అనేక వెబ్‌సైట్‌లను లక్ష్యంగా చేసుకుంటారు. సైట్‌లు లక్ష్యంగా చేసుకున్న సమూహానికి చెందిన సంస్థలు, స్వచ్ఛంద సంస్థలు లేదా ప్రభావవంతమైన వ్యక్తులకు చెందినవి కావచ్చు. పవిత్ర జలం ద్వారా రాజీపడిన అన్ని వెబ్‌సైట్‌లు ఒకే సర్వర్‌లో హోస్ట్ చేయబడ్డాయి మరియు ఇతర వాటిలో మతపరమైన వ్యక్తిత్వం, స్వచ్ఛంద సేవా కార్యక్రమం మరియు న్యాయమైన వాణిజ్య సంస్థ ఉన్నాయి.

దాడి అనేక దశలను కలిగి ఉంది

రాజీపడిన వెబ్‌సైట్‌ను సందర్శించిన తర్వాత, వినియోగదారు మొదటి దాడి దశలోకి ప్రవేశిస్తారు, అది (స్క్రిప్ట్|jquery)-css.js పేరుతో పాడైన జావాస్క్రిప్ట్‌ను కలిగి ఉంటుంది మరియు చైనీస్ ఆధారిత వెబ్ సేవ అయిన Sojsonతో అస్పష్టంగా ఉంటుంది. వినియోగదారు చెల్లుబాటు అయ్యే లక్ష్యం కాదా అని నిర్ధారించడం మరియు అలా చేయడం కోసం పేలోడ్ సందర్శకుడిపై డేటాను స్క్రాప్ చేయడం మరియు HTTP GET అభ్యర్థనల ద్వారా loginwebmailnic.dynssl[.]comలోని బాహ్య సర్వర్‌కు పంపడం ప్రారంభించడం ఈ స్క్రిప్ట్ పాత్ర:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

సర్వర్ నుండి ప్రతిస్పందన నిజమైన లేదా తప్పుడు ఫలితాన్ని అందిస్తుంది మరియు విలువ నిజమైతే, దాడి యొక్క తదుపరి దశ ప్రేరేపించబడుతుంది; లేకపోతే, ఏమీ జరగదు.

రెండవ దశలో, జావాస్క్రిప్ట్ (script|jquery)-file.js అని పేరు పెట్టబడింది, ఇది మరోసారి అదే పద్ధతిలో అస్పష్టంగా ఉంటుంది. అయితే, ఈసారి హ్యాకర్లు v4కి బదులుగా Sojson v5ని ఉపయోగించారు. వినియోగదారుని ఇన్ఫెక్ట్ చేయడానికి, హోలీ వాటర్ APT ఎటువంటి సాఫ్ట్‌వేర్ దుర్బలత్వాలను లేదా బలహీనతలను ఉపయోగించదు. బదులుగా, ఫ్లాష్ ప్లేయర్ నవీకరణను అందించే పాప్-అప్ విండో రూపొందించబడింది మరియు సంభావ్య బాధితుడు ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి అంగీకరించాలి.

హోలీ వాటర్ APT యొక్క ఆర్సెనల్ ఆఫ్ మాల్వేర్ టూల్స్ GitHubలో హోస్ట్ చేయబడింది

వినియోగదారు నకిలీ ఫ్లాష్ అప్‌డేట్‌ని కొనసాగించడానికి అనుమతిస్తే, అది github.com/AdobeFlash32/FlashUpdate వద్ద ఉన్న సక్రియం కాని GitHub రిపోజిటరీకి కనెక్ట్ అవుతుంది. ఆ ప్రదేశంలో నాలుగు వేర్వేరు సెట్ల సాధనాలు నిల్వ చేయబడ్డాయి - ఇన్‌స్టాలర్ ప్యాకేజీ, పరిశోధకులు Godlike12 అనే బ్యాక్‌డోర్ మాల్వేర్ మరియు స్టిచ్ అని పిలువబడే ఓపెన్-సోర్స్ పైథాన్ బ్యాక్‌డోర్ యొక్క రెండు వెర్షన్లు , వీటిని హ్యాకర్లు విస్తరించిన కార్యాచరణతో సవరించారు. అప్‌డేట్ ప్యాకేజీ అనేది NSIS ఇన్‌స్టాలర్, ఇది చట్టబద్ధమైన Windows Flash Player ఇన్‌స్టాలర్‌ను మరియు వాస్తవ పేలోడ్‌ను లోడ్ చేయడానికి ఉపయోగించే స్టేజర్ సాధనాన్ని తగ్గిస్తుంది. Godlike12 బ్యాక్‌డోర్ గో భాషలో వ్రాయబడింది మరియు కమాండ్ మరియు కంట్రోల్ (C&C, C2) సర్వర్‌లకు Google డ్రైవ్ ఛానెల్‌ని అమలు చేయడానికి ఉపయోగించబడుతుంది. స్టిచ్ బ్యాక్‌డోర్ వేరియంట్‌ల విషయానికొస్తే, సమాచారం మరియు పాస్‌వర్డ్ సేకరణ, యాక్టివిటీ లాగింగ్, ఫైల్ డౌన్‌లోడ్ మొదలైన సాధారణ బ్యాక్‌డోర్ కార్యకలాపాలతో పాటు, హోలీ వాటర్ గ్రూప్ ఆటో-అప్‌డేట్ చేయడానికి చట్టబద్ధమైన Adobe Flash ఇన్‌స్టాలేషన్ ప్రోగ్రామ్‌ను డౌన్‌లోడ్ చేసే సామర్థ్యాన్ని జోడించింది. ubntrooters.serveuser.com నుండి మరియు షెడ్యూల్ చేయబడిన టాస్క్‌లను పెంచడం ద్వారా పట్టుదలను సాధించండి.