Свята Вода APT

Holy Water APT — це назва групи кіберзлочинців, які провели серію атак типу «водяних отворів» проти азіатської релігійної та етнічної групи. TTP (тактика, техніка та процедури) цієї конкретної атаки не може бути віднесена до жодного з уже відомих акторів ATP (Advanced Persistent Threat), що привело дослідників до висновку, що це нова група кіберзлочинців, яка має характеристики невелика і гнучка команда хакерів.

Для здійснення атаки з лунки зловмисники націлені на кілька веб-сайтів, які часто відвідують призначені цілі. Сайти можуть належати організаціям, благодійним організаціям або впливовим особам, які належать до цільової групи. Усі веб-сайти, скомпрометовані Holy Water, були розміщені на одному сервері та включали, серед іншого, релігійну особу, благодійність, програму добровільної служби та організацію справедливої торгівлі.

Атака включала кілька етапів

Відвідавши скомпрометований веб-сайт, користувач переходить на перший етап атаки, який складається з пошкодженого JavaScript під назвою (script|jquery)-css.js і обфускованого за допомогою китайської веб-служби Sojson. Роль цього сценарію полягає в тому, щоб визначити, чи є користувач дійсною метою, і для цього корисне навантаження починає записувати дані про відвідувача та надсилати їх на зовнішній сервер за адресою loginwebmailnic.dynssl[.]com через HTTP-запити GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Відповідь від сервера повертає результат істинний або хибний, і якщо значення істинно, запускається наступний етап атаки; інакше нічого не відбувається.

Під час другого кроку JavaScript з ім’ям (script|jquery)-file.js, який, знову ж таки, обфусцовано таким же чином. Однак цього разу хакери використали Sojson v5 замість v4. Щоб заразити користувача, Holy Water APT не використовує вразливості або слабкі місця програмного забезпечення. Замість цього створюється спливаюче вікно з пропозицією оновлення Flash Player, і потенційна жертва має погодитися завантажити файл.

Арсенал шкідливих програм Holy Water APT розміщено на GitHub

Якщо користувач дозволяє продовжити фальшиве оновлення Flash, він підключається до вже неактивного репозитарію GitHub, розташованого за адресою github.com/AdobeFlash32/FlashUpdate . У цьому місці зберігалися чотири різні набори інструментів — пакет інсталятора, зловмисне програмне забезпечення для бекдорів, назване дослідниками Godlike12 , і дві версії бекдора Python з відкритим вихідним кодом, відомого як Stitch , які були модифіковані хакерами з розширеною функціональністю. Пакет оновлень — це інсталятор NSIS, який скидає законний інсталятор Windows Flash Player та інструмент для переходу, який використовується для завантаження фактичного корисного навантаження. Бекдор Godlike12 написаний мовою Go і використовується для реалізації каналу Google Drive на серверах командування та керування (C&C, C2). Що стосується варіантів бекдору Stitch, на додаток до звичайних бекдорів, таких як збір інформації та паролів, реєстрація активності, завантаження файлів тощо, група Holy Water додала можливість завантажувати законну програму встановлення Adobe Flash для автоматичного оновлення. з ubntrooters.serveuser.com і досягти стійкості, використовуючи заплановані завдання.