Holy Water APT: опасная вода

Злоумышленники заражают компьютеры пользователей бэкдором, выдавая его за обновление Adobe Flash Player.

В конце 2019 года наши эксперты обнаружили целевую атаку с применением тактики watering hole. Не задействуя технически сложных уловок и не эксплуатируя уязвимостей, злоумышленники тем не менее как минимум восемь месяцев заражали устройства азиатских пользователей. Из-за тематики сайтов, с которых распространялись вредоносы, атака получила название Holy Water. Интересно, что это вторая обнаруженная нами атака, в которой применяется тактика watering hole, — совсем недавно мы писали про еще одну находку наших исследователей.

Как Holy Water заражала устройства пользователей?

По всей видимости, злоумышленникам в какой-то момент удалось скомпрометировать сервер, на котором располагалось несколько сайтов. Это были, в основном, страницы религиозных деятелей, общественных и благотворительных организаций. В код этих страниц операторы атаки встроили вредоносные скрипты, которые и применялись для атаки.

Когда пользователь заходил на зараженную страницу, скрипты при помощи вполне легитимных инструментов собирали о нем данные и отправляли на сторонний сервер для валидации цели. Мы не знаем, чем руководствовались злоумышленники при выборе жертвы, однако в ответ на отосланную информацию сервер иногда присылал команду продолжать атаку.

Продолжение заключалось в трюке, который можно назвать классическим (он применяется уже не первый десяток лет): пользователю предлагали обновить Adobe Flash Player. Причем аргументом служила небезопасность использования устаревшей версии. В случае согласия вместо обновления на его компьютер устанавливался бэкдор Godlike12.

Чем опасен бэкдор Godlike12

Авторы атаки активно использовали легитимные сервисы. И для профилирования жертв, и для хранения вредоносного кода — бэкдор лежал на сайте Github. Да и с командными серверами он общался через Google Drive.

Бэкдор размещал в этом сервисе идентификатор и регулярно обращался к нему, чтобы проверить, не поступили ли команды от операторов. Туда же он закачивал и результаты выполнения команд. По мнению наших экспертов, основные задачи злоумышленников сводились к разведке и скачиванию информации с скомпрометированного устройства.

Если вам интересны технические аспекты атаки и используемых злоумышленниками инструментов, то их можно найти в статье на сайте Securelist. Там же опубликованы и индикаторы компрометации.

Как защититься от атаки?

Пока мы видели Holy Water только в Азии, однако инструменты, использованные в этой кампании, достаточно просты и без особого труда могут быть скопированы другими злоумышленниками. Поэтому мы рекомендуем серьезно отнестись к данным рекомендациям всем пользователям независимо от их местоположения.

Мы не можем сказать, направлена эта атака против конкретных людей или же против организаций. Но с учетом тематики зараженных сайтов логично предположить, что посещать их могли как с домашних устройств, так и с рабочих. Поэтому наша рекомендация достаточно стандартна: любое устройство, выходящее в Интернет, должно быть снабжено защитным решением. У нас есть варианты и для личных компьютеров и для корпоративных. В конце концов, все инструменты, применяемые авторами Holy Water, наши продукты успешно выявляют и блокируют.

Советы