Holy Water APT

Holy Water APT es el nombre que recibe un grupo de ciberdelincuentes que realizaron una serie de ataques tipo pozo de agua contra un grupo étnico y religioso asiático. El TTP (Tácticas, Técnicas y Procedimientos) de este ataque en particular no podía ser atribuido a ninguno de los actores ATP (Advanced Persistent Threat) ya conocidos, lo que llevó a los investigadores a la conclusión de que se trata de un nuevo grupo ciberdelincuente que muestra características de un pequeño y flexible equipo de hackers.

Para llevar a cabo un ataque de pozo de agua, los delincuentes se dirigen a varios sitios web que los objetivos designados visitan con frecuencia. Los sitios pueden pertenecer a organizaciones, organizaciones benéficas o personas influyentes que pertenecen al grupo objetivo. Todos los sitios web comprometidos por Holy Water estaban alojados en el mismo servidor e incluían una personalidad religiosa, una organización benéfica, un programa de servicio voluntario y una organización de comercio justo, entre otros.

El ataque incluyó varias etapas

Al visitar un sitio web comprometido, el usuario ingresa en la primera etapa de ataque que consiste en un JavaScript dañado llamado (script|jquery)-css.js y ofuscado con Sojson, un servicio web basado en chino. La función de este script es determinar si el usuario es un objetivo válido y, para hacerlo, la carga útil comienza a extraer datos del visitante y los envía a un servidor externo en loginwebmailnic.dynssl[.]com a través de solicitudes HTTP GET:

https://loginwebmailnic.dynssl[.]com/all/content.php?jsoncallback=&lanip=&wanip=&urlpath=&_=

La respuesta del servidor devuelve un resultado verdadero o falso, y si el valor es verdadero, se desencadena la siguiente etapa del ataque; de lo contrario, no pasa nada.

Durante el segundo paso, un JavaScript llamado (script|jquery)-file.js, que, una vez más, está ofuscado de la misma manera. Sin embargo, esta vez los piratas informáticos utilizaron Sojson v5 en lugar de v4. Para infectar al usuario, Holy Water APT no explota ninguna vulnerabilidad o debilidad del software. En su lugar, se genera una ventana emergente que ofrece una actualización de Flash Player y la víctima potencial debe aceptar descargar el archivo.

El arsenal de herramientas de malware de Holy Water APT se alojó en GitHub

Si el usuario permite que continúe la actualización falsa de Flash, se conecta a un repositorio de GitHub que ya no está activo ubicado en github.com/AdobeFlash32/FlashUpdate . En esa ubicación se almacenaron cuatro conjuntos diferentes de herramientas: un paquete de instalación, un malware de puerta trasera llamado Godlike12 por los investigadores y dos versiones de una puerta trasera Python de código abierto conocida como Stitch, que fueron modificadas por los piratas informáticos con una funcionalidad ampliada. El paquete de actualización es un instalador NSIS que descarga un instalador legítimo de Windows Flash Player y una herramienta de puesta en escena que se usa para cargar la carga real. La puerta trasera Godlike12 está escrita en lenguaje Go y se utiliza para implementar un canal de Google Drive en los servidores de Comando y Control (C&C, C2). En cuanto a las variantes de la puerta trasera de Stitch, además de las actividades habituales de la puerta trasera, como la recopilación de información y contraseñas, el registro de actividades, la descarga de archivos, etc., el grupo Holy Water agregó la capacidad de descargar un programa legítimo de instalación de Adobe Flash, para actualizarse automáticamente. desde ubntrooters.serveuser.com y lograr la persistencia aprovechando las tareas programadas.