Holy Water APT

Holy Water APTは、アジアの宗教的および民族的グループに対して一連のウォーターホールタイプの攻撃を行ったサイバー犯罪者のグループに付けられた名前です。この特定の攻撃のTTP（戦術、技術、手順）は、既知のATP（Advanced Persistent Threat）アクターのいずれにも起因するものではなかったため、研究者は、これが小さくて柔軟なハッカーのチーム。

水飲み場型攻撃を実行するために、犯罪者は、指定されたターゲットが頻繁にアクセスする複数のWebサイトをターゲットにします。サイトは、対象グループに属する組織、慈善団体、または影響力のある個人に属することができます。 Holy Waterによって侵害されたすべてのWebサイトは同じサーバーでホストされており、宗教的な人格、慈善団体、自主的なサービスプログラム、フェアトレード組織などが含まれていました。

攻撃には複数の段階が含まれていました

侵害されたWebサイトにアクセスすると、ユーザーは（script | jquery）-css.jsという名前の破損したJavaScriptで構成され、中国語ベースのWebサービスであるSojsonで難読化された最初の攻撃段階に入ります。このスクリプトの役割は、ユーザーが有効なターゲットであるかどうかを判断することです。これにより、ペイロードは訪問者のデータのスクレイピングを開始し、HTTPGETリクエストを介してloginwebmailnic.dynssl [。] comの外部サーバーに送信します。

https：//loginwebmailnic.dynssl [。] com / all / content.php？jsoncallback =＆lanip =＆wanip =＆urlpath =＆_ =

サーバーからの応答はtrueまたはfalseの結果を返し、値がtrueの場合、攻撃の次の段階がトリガーされます。そうでなければ、何も起こりません。

2番目のステップでは、（script | jquery）-file.jsという名前のJavaScriptが、同じ方法で難読化されます。ただし、今回はハッカーがv4ではなくSojsonv5を使用しました。ユーザーを感染させるために、Holy WaterAPTはソフトウェアの脆弱性や弱点を悪用しません。代わりに、Flash Playerの更新を提供するポップアップウィンドウが生成され、潜在的な被害者はファイルのダウンロードに同意する必要があります。

Holy WaterAPTのマルウェアツールのアーセナルがGitHubでホストされました

ユーザーが偽のFlash更新の続行を許可すると、github.com / AdobeFlash32 / FlashUpdateにあるアクティブではなくなったGitHubリポジトリに接続します。その場所には、4つの異なるツールセットが保存されていました。インストーラーパッケージ、研究者Godlike12によって名前が付けられたバックドアマルウェア、および拡張機能を備えたハッカーによって変更されたStitchと呼ばれるオープンソースPythonバックドアの2つのバージョンです。アップデートパッケージは、正規のWindows Flash Playerインストーラーと実際のペイロードをロードするために使用されるステージャーツールをドロップするNSISインストーラーです。 Godlike12バックドアはGo言語で記述されており、コマンドアンドコントロール（C＆C、C2）サーバーにGoogleドライブチャネルを実装するために使用されます。 Stitchバックドアの亜種については、情報やパスワードの収集、アクティビティログ、ファイルのダウンロードなどの通常のバックドアアクティビティに加えて、HolyWaterグループが正規のAdobeFlashインストールプログラムをダウンロードして自動更新する機能を追加しました。 ubntrooters.serveuser.comからそれ自体を取得し、スケジュールされたタスクを活用して永続性を実現します。