Holy Water APT

Holy Water APT, bir Asyalı dini ve etnik gruba karşı bir dizi su deliği tipi saldırı gerçekleştiren bir grup siber suçluya verilen isimdir. Bu özel saldırının TTP'si (Taktikler, Teknikler ve Prosedürler), halihazırda bilinen ATP (Gelişmiş Kalıcı Tehdit) aktörlerinden hiçbirine atfedilemedi ve bu da araştırmacıları, bunun aşağıdaki özellikleri gösteren yeni bir siber suçlu grubu olduğu sonucuna götürdü. küçük ve esnek bir hacker ekibi.

Su birikintisi saldırısı yapmak için suçlular, belirlenen hedefler tarafından sık sık ziyaret edilen birkaç web sitesini hedef alır. Siteler, hedeflenen gruba ait kuruluşlara, hayır kurumlarına veya etkili kişilere ait olabilir. Holy Water tarafından tehlikeye atılan tüm web siteleri aynı sunucuda barındırılıyor ve diğerlerinin yanı sıra dini bir kişilik, hayır kurumu, gönüllü hizmet programı ve adil bir ticaret organizasyonu içeriyordu.

Saldırı Birden Fazla Aşama İçeriyor

Kullanıcı, güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde, (script|jquery)-css.js adlı bozuk bir JavaScript'ten oluşan ve Çin merkezli bir Web hizmeti olan Sojson ile gizlenmiş ilk saldırı aşamasına girer. Bu betiğin rolü, kullanıcının geçerli bir hedef olup olmadığını belirlemek ve bunu yapmak için yük, ziyaretçideki verileri kazımaya ve HTTP GET istekleri aracılığıyla loginwebmailnic.dynssl[.]com adresindeki harici bir sunucuya göndermeye başlar:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Sunucudan gelen yanıt doğru veya yanlış bir sonuç döndürür ve değer doğruysa saldırının bir sonraki aşaması tetiklenir; aksi takdirde hiçbir şey olmaz.

İkinci adımda, (script|jquery)-file.js adlı bir JavaScript, bir kez daha aynı şekilde gizlenir. Ancak bu sefer hackerlar v4 yerine Sojson v5 kullandı. Kullanıcıyı etkilemek için Holy Water APT, herhangi bir yazılım güvenlik açığından veya zayıflığından yararlanmaz. Bunun yerine, bir Flash oynatıcı güncellemesi sunan bir açılır pencere oluşturulur ve potansiyel kurbanın dosyayı indirmeyi kabul etmesi gerekir.

Holy Water APT'nin Kötü Amaçlı Yazılım Araçları Arsenal'i GitHub'da Barındırıldı

Kullanıcı sahte Flash güncellemesinin devam etmesine izin verirse , github.com/AdobeFlash32/FlashUpdate adresinde bulunan ve artık etkin olmayan GitHub deposuna bağlanır. Bu konumda dört farklı araç seti depolandı - bir yükleyici paketi, araştırmacılar tarafından Godlike12 olarak adlandırılan bir arka kapı kötü amaçlı yazılımı ve bilgisayar korsanları tarafından genişletilmiş işlevsellik ile değiştirilen Stitch olarak bilinen açık kaynaklı bir Python arka kapısının iki versiyonu. Güncelleme paketi, meşru bir Windows Flash Player yükleyicisini ve gerçek yükü yüklemek için kullanılan bir hazırlama aracını bırakan bir NSIS yükleyicisidir. Godlike12 arka kapısı Go dilinde yazılmıştır ve Komuta ve Kontrol (C&C, C2) sunucularına bir Google Drive kanalı uygulamak için kullanılır. Stitch arka kapı varyantlarına gelince, bilgi ve parola toplama, etkinlik günlüğü tutma, dosya indirme vb. gibi olağan arka kapı etkinliklerine ek olarak Holy Water grubu, otomatik güncelleme için meşru bir Adobe Flash Kurulum programı indirme özelliğini ekledi. kendisini ubntrooters.serveuser.com'dan alır ve zamanlanmış görevlerden yararlanarak kalıcılığa ulaşır.