Holy Water APT

Holy Water APT ist der Name einer Gruppe von Cyberkriminellen, die eine Reihe von Angriffen vom Typ Wasserlöcher gegen eine asiatische religiöse und ethnische Gruppe durchgeführt haben. Die TTP (Tactics, Techniques and Procedures) dieses speziellen Angriffs konnten keinem der bereits bekannten ATP (Advanced Persistent Threat)-Akteure zugeschrieben werden, was die Forscher zu dem Schluss führte, dass es sich um eine neue cyberkriminelle Gruppe handelt, die Merkmale von ein kleines und flexibles Team von Hackern hat.

Um einen Wasserloch-Angriff durchzuführen, nehmen die Kriminellen mehrere Websites ins Visier, die von den benannten Zielen häufig besucht werden. Die Websites können Organisationen, Wohltätigkeitsorganisationen oder einflussreichen Personen gehören, die zur Zielgruppe gehören. Alle von Holy Water kompromittierten Websites wurden auf demselben Server gehostet und umfassten unter anderem eine religiöse Persönlichkeit, eine Wohltätigkeitsorganisation, ein Freiwilligendienstprogramm und eine Fair-Trade-Organisation.

Der Angriff umfasste mehrere Phasen

Beim Besuch einer kompromittierten Website tritt der Benutzer in die erste Angriffsphase ein, die aus einem beschädigten JavaScript namens (script|jquery)-css.js besteht und mit Sojson, einem auf China basierenden Webdienst, verschleiert ist. Die Rolle dieses Skripts besteht darin, festzustellen, ob der Benutzer ein gültiges Ziel ist, und um dies zu tun, beginnt die Nutzlast, Daten über den Besucher zu sammeln und sie über HTTP-GET-Anforderungen an einen externen Server unter loginwebmailnic.dynssl[.]com zu senden:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

Die Antwort des Servers gibt ein wahres oder falsches Ergebnis zurück, und wenn der Wert wahr ist, wird die nächste Stufe des Angriffs ausgelöst; ansonsten passiert nichts.

Im zweiten Schritt wird ein JavaScript namens (script|jquery)-file.js erstellt, das wiederum auf die gleiche Weise verschleiert wird. Diesmal verwendeten die Hacker jedoch Sojson v5 anstelle von v4. Um den Benutzer zu infizieren, nutzt das Holy Water APT keine Software-Schwachstellen oder -Schwächen aus. Stattdessen wird ein Popup-Fenster mit einem Flash-Player-Update generiert und das potenzielle Opfer muss dem Download der Datei zustimmen.

Das Arsenal an Malware-Tools von Holy Water APT wurde auf GitHub gehostet

Wenn der Benutzer das Fortfahren des gefälschten Flash-Updates zulässt, stellt es eine Verbindung zu einem nicht mehr aktiven GitHub-Repository her, das sich unter github.com/AdobeFlash32/FlashUpdate befindet. An diesem Ort wurden vier verschiedene Toolsets gespeichert – ein Installationspaket, eine Backdoor-Malware namens Godlike12 und zwei Versionen einer Open-Source-Python-Backdoor namens Stitch, die von den Hackern mit erweiterter Funktionalität modifiziert wurden. Das Updatepaket ist ein NSIS-Installer, der ein legitimes Windows Flash Player-Installationsprogramm und ein Stager-Tool entfernt, das verwendet wird, um die eigentliche Nutzlast zu laden. Die Godlike12-Backdoor ist in der Sprache Go geschrieben und wird verwendet, um einen Google Drive-Kanal zu den Command and Control (C&C, C2) Servern zu implementieren. Bei den Stitch-Backdoor-Varianten hat die Holy Water-Gruppe zusätzlich zu den üblichen Backdoor-Aktivitäten wie Informations- und Passwortsammlung, Aktivitätsprotokollierung, Dateidownload usw. die Möglichkeit, ein legitimes Adobe Flash-Installationsprogramm herunterzuladen, sich selbst von ubntrooters.serveuser.com automatisch zu aktualisieren und Persistenz durch Nutzung geplanter Aufgaben zu erreichen.