Holy Water APT

聖水 APT 是一組網絡犯罪分子的名稱，他們對亞洲宗教和種族群體進行了一系列水坑式攻擊。這種特定攻擊的 TTP（戰術、技術和程序）不能歸因於任何已知的 ATP（高級持續威脅）參與者，這導致研究人員得出結論，這是一個新的網絡犯罪集團，具有以下特徵一個小而靈活的黑客團隊。

為了進行水坑攻擊，犯罪分子針對指定目標經常訪問的多個網站進行攻擊。這些網站可以屬於屬於目標群體的組織、慈善機構或有影響力的個人。被聖水入侵的所有網站都託管在同一台服務器上，其中包括宗教人士、慈善機構、志願服務計劃和公平貿易組織等。

攻擊包括多個階段

訪問受感染的網站後，用戶進入第一個攻擊階段，該階段由一個名為 (script|jquery)-css.js 的損壞的 JavaScript 組成，並使用基於中文的 Web 服務 Sojson 進行混淆。這個腳本的作用是確定用戶是否是一個有效的目標，為此，有效負載開始抓取訪問者的數據，並通過 HTTP GET 請求將其發送到 loginwebmailnic.dynssl[.]com 的外部服務器：

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

來自服務器的響應返回真或假結果，如果值為真，則觸發下一階段的攻擊；否則，什麼也不會發生。

在第二步中，一個名為 (script|jquery)-file.js 的 JavaScript 再次以相同的方式進行了混淆。但是，這次黑客使用了 Sojson v5 而不是 v4。為了感染用戶，Holy Water APT 不會利用任何軟件漏洞或弱點。相反，會生成一個提供 Flash 播放器更新的彈出窗口，並且潛在的受害者必須同意下載該文件。

Holy Water APT 的惡意軟件工具庫託管在 GitHub 上

如果用戶允許假 Flash 更新繼續進行，它會連接到位於github.com/AdobeFlash32/FlashUpdate 的不再活動的 GitHub 存儲庫。該位置存儲了四組不同的工具——一個安裝程序包、一個由研究人員Godlike12命名的後門惡意軟件，以及兩個版本的開源 Python 後門程序，稱為Stitch ，由黑客修改並擴展了功能。更新包是一個 NSIS 安裝程序，它刪除了一個合法的 Windows Flash Player 安裝程序和一個用於加載實際負載的 stager 工具。 Godlike12 後門是用 Go 語言編寫的，用於實現到命令和控制（C&C、C2）服務器的 Google Drive 通道。對於 Stitch 後門變種，除了常見的後門活動，如信息和密碼收集、活動記錄、文件下載等，聖水集團增加了下載合法 Adobe Flash 安裝程序的能力，以自動更新它本身來自 ubntrooters.serveuser.com，並通過利用計劃任務實現持久性。