Nước thánh APT

Holy Water APT là tên được đặt cho một nhóm tội phạm mạng đã tiến hành một loạt các cuộc tấn công kiểu lỗ nước nhằm vào một nhóm tôn giáo và dân tộc châu Á. TTP (Chiến thuật, Kỹ thuật và Thủ tục) của cuộc tấn công cụ thể này không thể được quy cho bất kỳ tác nhân nào đã biết của ATP (Mối đe dọa liên tục nâng cao), điều này khiến các nhà nghiên cứu kết luận rằng đây là một nhóm tội phạm mạng mới hiển thị các đặc điểm của một đội tin tặc nhỏ và linh hoạt.

Để tiến hành một cuộc tấn công lỗ nước, bọn tội phạm nhắm vào một số trang web được các mục tiêu được chỉ định thường xuyên truy cập. Các trang web có thể thuộc về các tổ chức, tổ chức từ thiện hoặc các cá nhân có ảnh hưởng thuộc nhóm được nhắm mục tiêu. Tất cả các trang web bị Holy Water xâm phạm đều được lưu trữ trên cùng một máy chủ và bao gồm nhân cách tôn giáo, tổ chức từ thiện, dịch vụ tự nguyện và tổ chức thương mại công bằng, trong số những trang web khác.

Cuộc tấn công bao gồm nhiều giai đoạn

Khi truy cập một trang web bị xâm nhập, người dùng sẽ bước vào giai đoạn tấn công đầu tiên bao gồm một JavaScript bị hỏng có tên (script | jquery) -css.js và bị xáo trộn với Sojson, một dịch vụ Web có trụ sở tại Trung Quốc. Vai trò của tập lệnh này là xác định xem người dùng có phải là mục tiêu hợp lệ hay không và để làm như vậy trọng tải bắt đầu thu thập dữ liệu về khách truy cập và gửi đến máy chủ bên ngoài tại loginwebmailnic.dynssl [.] Com thông qua các yêu cầu HTTP GET:

https: //loginwebmailnic.dynssl [.] com / all / content.php? jsoncallback = & lanip = & wanip = & urlpath = & _ =

Phản hồi từ máy chủ trả về kết quả đúng hoặc sai và nếu giá trị là đúng, giai đoạn tiếp theo của cuộc tấn công sẽ được kích hoạt; nếu không, không có gì xảy ra.

Trong bước thứ hai, một JavaScript có tên (script | jquery) -file.js, một lần nữa, được xáo trộn theo cách tương tự. Tuy nhiên, lần này các hacker đã sử dụng Sojson v5 thay vì v4. Để lây nhiễm cho người dùng, Holy Water APT không khai thác bất kỳ lỗ hổng hoặc điểm yếu nào của phần mềm. Thay vào đó, một cửa sổ bật lên cung cấp bản cập nhật trình phát Flash được tạo và nạn nhân tiềm năng phải đồng ý tải xuống tệp.

Kho công cụ phần mềm độc hại của Holy Water APT đã được lưu trữ trên GitHub

Nếu người dùng cho phép tiếp tục cập nhật Flash giả, nó sẽ kết nối với kho lưu trữ GitHub không còn hoạt động tại github.com/AdobeFlash32/FlashUpdate . Bốn bộ công cụ khác nhau đã được lưu trữ trên vị trí đó - một gói trình cài đặt, một phần mềm độc hại backdoor được đặt tên bởi các nhà nghiên cứu là Godlike12 và hai phiên bản của một backdoor Python mã nguồn mở được gọi là Stitch , đã được sửa đổi bởi các tin tặc với chức năng mở rộng. Gói cập nhật là một trình cài đặt NSIS đưa ra một trình cài đặt Windows Flash Player hợp pháp và một công cụ stager được sử dụng để tải trọng tải thực tế. Cửa hậu Godlike12 được viết bằng ngôn ngữ Go và được sử dụng để triển khai kênh Google Drive tới máy chủ Lệnh và Điều khiển (C&C, C2). Đối với các biến thể backdoor của Stitch, ngoài các hoạt động backdoor thông thường như thu thập thông tin và mật khẩu, ghi nhật ký hoạt động, tải xuống tệp, v.v., nhóm Holy Water đã bổ sung khả năng tải xuống chương trình Cài đặt Adobe Flash hợp pháp, để tự động cập nhật. từ ubntrooters.serveuser.com và đạt được sự bền bỉ bằng cách tận dụng các tác vụ đã lên lịch.