Holy Water APT

圣水 APT 是一组网络犯罪分子的名称，他们对亚洲宗教和种族群体进行了一系列水坑式攻击。这种特定攻击的 TTP（战术、技术和程序）不能归因于任何已知的 ATP（高级持续威胁）参与者，这导致研究人员得出结论，这是一个新的网络犯罪集团，具有以下特征一个小而灵活的黑客团队。

为了进行水坑攻击，犯罪分子针对指定目标经常访问的多个网站进行攻击。这些网站可以属于属于目标群体的组织、慈善机构或有影响力的个人。被圣水入侵的所有网站都托管在同一台服务器上，其中包括宗教人士、慈善机构、志愿服务计划和公平贸易组织等。

攻击包括多个阶段

访问受感染的网站后，用户进入第一个攻击阶段，该阶段由一个名为 (script|jquery)-css.js 的损坏的 JavaScript 组成，并使用基于中文的 Web 服务 Sojson 进行混淆。此脚本的作用是确定用户是否是有效目标，为此，有效负载开始抓取访问者的数据，并通过 HTTP GET 请求将其发送到位于 loginwebmailnic.dynssl[.]com 的外部服务器：

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

来自服务器的响应返回真或假结果，如果值为真，则触发下一阶段的攻击；否则，什么也不会发生。

在第二步中，一个名为 (script|jquery)-file.js 的 JavaScript 再次以相同的方式进行了混淆处理。但是，这次黑客使用了 Sojson v5 而不是 v4。为了感染用户，Holy Water APT 不会利用任何软件漏洞或弱点。相反，会生成一个提供 Flash 播放器更新的弹出窗口，并且潜在的受害者必须同意下载该文件。

Holy Water APT 的恶意软件工具库托管在 GitHub 上

如果用户允许假 Flash 更新继续进行，它会连接到位于github.com/AdobeFlash32/FlashUpdate 的不再活动的 GitHub 存储库。该位置存储了四组不同的工具——一个安装程序包、一个由研究人员Godlike12命名的后门恶意软件，以及两个版本的开源 Python 后门程序，称为Stitch ，由黑客修改并扩展了功能。更新包是一个 NSIS 安装程序，它删除了一个合法的 Windows Flash Player 安装程序和一个用于加载实际负载的 stager 工具。 Godlike12 后门是用 Go 语言编写的，用于实现到命令和控制（C&C、C2）服务器的 Google Drive 通道。对于 Stitch 后门变种，除了常见的后门活动，如信息和密码收集、活动记录、文件下载等，圣水集团增加了下载合法 Adobe Flash 安装程序的能力，以自动更新它本身来自 ubntrooters.serveuser.com，并通过利用计划任务实现持久性。