Holy Water APT: опасная вода

[KL FC Bot 189]

В конце 2019 года наши эксперты обнаружили целевую атаку с применением тактики watering hole. Не задействуя технически сложных уловок и не эксплуатируя уязвимостей, злоумышленники тем не менее как минимум восемь месяцев заражали устройства азиатских пользователей. Из-за тематики сайтов, с которых распространялись вредоносы, атака получила название Holy Water. Интересно, что это вторая обнаруженная нами атака, в которой применяется тактика watering hole, — совсем недавно мы писали про еще одну находку наших исследователей.

Как Holy Water заражала устройства пользователей?

 

По всей видимости, злоумышленникам в какой-то момент удалось скомпрометировать сервер, на котором располагалось несколько сайтов. Это были, в основном, страницы религиозных деятелей, общественных и благотворительных организаций. В код этих страниц операторы атаки встроили вредоносные скрипты, которые и применялись для атаки.
Когда пользователь заходил на зараженную страницу, скрипты при помощи вполне легитимных инструментов собирали о нем данные и отправляли на сторонний сервер для валидации цели. Мы не знаем, чем руководствовались злоумышленники при выборе жертвы, однако в ответ на отосланную информацию сервер иногда присылал команду продолжать атаку.
Продолжение заключалось в трюке, который можно назвать классическим (он применяется уже не первый десяток лет): пользователю предлагали обновить Adobe Flash Player. Причем аргументом служила небезопасность использования устаревшей версии. В случае согласия вместо обновления на его компьютер устанавливался бэкдор Godlike12.
 
Читать далее >>