Holy Water APT

Holy Water APT est le nom donné à un groupe de cybercriminels qui ont mené une série d'attaques de type trou d'eau contre un groupe religieux et ethnique asiatique. Le TTP (Tactiques, Techniques et Procédures) de cette attaque particulière n'a pu être attribué à aucun des acteurs ATP (Advanced Persistent Threat) déjà connus, ce qui a conduit les chercheurs à la conclusion qu'il s'agit d'un nouveau groupe de cybercriminels qui présente des caractéristiques de une petite et flexible équipe de hackers.

Pour mener une attaque par points d'eau, les criminels ciblent plusieurs sites Web fréquemment visités par les cibles désignées. Les sites peuvent appartenir à des organisations, des associations caritatives ou des personnes influentes appartenant au groupe ciblé. Tous les sites Web compromis par Holy Water étaient hébergés sur le même serveur et comprenaient une personnalité religieuse, un organisme de bienfaisance, un programme de service volontaire et une organisation de commerce équitable, entre autres.

L'attaque comprenait plusieurs étapes

Lors de la visite d'un site Web compromis, l'utilisateur entre dans la première étape d'attaque qui consiste en un code JavaScript corrompu nommé (script|jquery)-css.js et masqué avec Sojson, un service Web basé en Chine. Le rôle de ce script est de déterminer si l'utilisateur est une cible valide et pour ce faire, la charge utile commence à récupérer les données sur le visiteur et à les envoyer à un serveur externe à loginwebmailnic.dynssl[.]com via des requêtes HTTP GET :

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

La réponse du serveur renvoie un résultat vrai ou faux, et si la valeur est vraie, la prochaine étape de l'attaque est déclenchée ; sinon, il ne se passe rien.

Lors de la deuxième étape, un JavaScript nommé (script|jquery)-file.js, qui est, une fois de plus, obscurci de la même manière. Cependant, cette fois, les pirates ont utilisé Sojson v5 au lieu de v4. Pour infecter l'utilisateur, Holy Water APT n'exploite aucune vulnérabilité ou faiblesse du logiciel. Au lieu de cela, une fenêtre contextuelle proposant une mise à jour du lecteur Flash est générée et la victime potentielle doit accepter de télécharger le fichier.

L'arsenal d'outils malveillants d'APT Holy Water a été hébergé sur GitHub

Si l'utilisateur permet à la fausse mise à jour Flash de se poursuivre, il se connecte à un référentiel GitHub qui n'est plus actif situé sur github.com/AdobeFlash32/FlashUpdate . Quatre ensembles d'outils différents ont été stockés à cet emplacement - un package d'installation, un malware de porte dérobée nommé par les chercheurs Godlike12 et deux versions d'une porte dérobée Python open source connue sous le nom de Stitch, qui ont été modifiées par les pirates avec des fonctionnalités étendues. Le package de mise à jour est un programme d'installation NSIS qui supprime un programme d'installation légitime de Windows Flash Player et un outil de transfert qui est utilisé pour charger la charge utile réelle. La porte dérobée Godlike12 est écrite en langage Go et est utilisée pour implémenter un canal Google Drive sur les serveurs Command and Control (C&C, C2). En ce qui concerne les variantes de porte dérobée Stitch, en plus des activités de porte dérobée habituelles telles que la collecte d'informations et de mots de passe, la journalisation des activités, le téléchargement de fichiers, etc., le groupe Holy Water a ajouté la possibilité de télécharger un programme d'installation Adobe Flash légitime, pour effectuer une mise à jour automatique. lui-même à partir de ubntrooters.serveuser.com et atteindre la persistance en tirant parti des tâches planifiées.