Izvor: Objava, 31.Mar.2020, 12:34 (ažurirano 02.Apr.2020.)
Holy Water: otkriven novi "water-holing" napad
Istraživači kompanije Kaspersky otkrili su „watering-hole” kampanju koja je od maja 2019. godine targetirala korisnike u Aziji. Više od 10 veb-sajtova koji su u vezi sa religijom, programima volontiranja, dobrotvornim organizacijama i nekoliko drugih oblasti, kompromitovano je radi selektivnog pokretanja „drive-by download” napada što je za ishod imalo kreiranje bekdora na ciljanim uređajima. Napadači su koristili kreativni set alata, koji je uključivao GitHub distribuciju i upotrebu otvorenog koda.
„Watering hole” je strategija ciljanog napada u kojoj sajber kriminalci kompromituju veb-sajtove za koje se smatra da predstavljaju plodno tle za potencijalne žrtve i čekaju da postavljeni malver završi na njihovim računarima. Kako bi bio izložen malveru, dovoljno je da korisnik poseti kompromitovani veb-sajt, što ovaj vid napada čini lakim za širenje a samim tim i opasnijim. U kampanji koju su istraživači kompanije Kaspersky nazvali Holy Water, „water-holes” su postavljene na veb-sajtovima koji pripadaju javnim ličnostima, javnim ustanovama, dobrotvornim i drugim organizacijama.
Ovaj višestepeni „waterhole” napad sa nesofisticiranim ali kreativnim setom alata karakterističan je po svom brzom evoluiranju od dana osnivanja, kao i po širokom opsegu alata koji se koriste.
Prilikom posete nekom od „water-holing” veb-sajtova, prethodno kompromitovani resurs će učitati neprimetni maliciozni JavaScript, koji sakuplja podatke o posetiocu. Spoljašnji server tada utvrđuje da li je posetilac meta. Ukoliko je posetilac potvrđen kao meta, druga JavaScript faza će učitati plugin, koji će onda pokrenuti „download” napad, prikazujući lažni Adobe Flash podsetnik za ažuriranje.
Zatim se očekuje da će posetilac biti namamljen u zamku za ažuriranje i da će preuzeti maliciozni paket za instaliranje koji će kreirati bekdor pod nazivom „Godlike12”, što će akteru pretnji obezbediti potpuni pristup na daljinu zaraženom uređaju, omogućujući modifikovanje fajlova, prikupljanje poverljivih podataka sa računara, praćenje aktivnosti na računaru i još mnogo toga. Drugi bekdor, izmenjena verzija otvorenog Python bekdora pod imenom Stitch, takođe je korišćen u napadu. Obezbedio je klasične funkcije bekdora uspostavljanjem direktne konekcije putem utičnice, kako bi se AES šifrovani podaci razmenili sa udaljenim serverom.
Lažni Adobe Flash podsetnik povezan je sa izvršnim fajlom koji se nalazi na adresi github.com pod maskom Flash fajla za ažuriranje. GitHub je onemogućio ovaj repozitorijum 14. februara 2020. godine nakon što ga je kompanija Kaspersky prijavila i na taj način je prekinut lanac zaraze. Repozitorijum je, međutim, bio onlajn više od 9 meseci, i zahvaljujući GitHub-ovoj istoriji, istraživači su uspeli da steknu jedinstveni uvid u aktivnosti i alate napadača.
Kampanja se ističe svojim niskobudžetnim i nepotpuno razvijenim setom alata, koji je modifikovan nekoliko puta u par meseci radi korišćenja zanimljivih funkcija poput Google Drive C2. Kompanija Kaspersky smatra da je napad najverovatnije delo malog, agilnog tima.
„Watering hole je zanimljiva strategija koja daje rezultate putem korišćenja ciljanih napada na određene grupe ljudi. Nismo bili u mogućnosti da budemo svedoci napada uživo i usled toga nismo mogli da odredimo operativni cilj. Ipak, ova kampanja još jednom pokazuje zašto onlajn privatnost treba aktivno štititi. Rizici po privatnost su naročito visoki kada uzmemo u obzir različite socijalne grupe i manjine, jer uvek postoje akteri koju su zainteresovani da saznaju nešto više o takvim grupama“ – komentariše Ivan Kvajatkovski (Ivan Kwiatkowski), vodeći istraživač bezbednosti u kompaniji Kaspersky.
Više o ovoj „water-holing” kampanji pročitajte na Securelist.com.
Kako ne biste postali žrtva ovakve vrste ciljanih napada, stručnjaci kompanije Kaspersky savetuju sledeće:
• Ukoliko je moguće izbegavajte korišćenje Adobe Flash Player-a. Ukoliko to nije moguće, a od vas se traži da izvršite ažuriranje, proverite na zvaničnoj veb-stranici proizvoda da li mu je potrebno ažuriranje, s obzirom na to da većina sajtova ne koristi ovaj proizvod i verovatno navodno ažuriranje prikriva nešto zlonamerno.
• Koristite VPN da sakrijete svoju povezanost sa određenom grupom putem maskiranja vaše prave IP adrese i skrivanja prave lokacije na kojoj se nalazite.
• Odaberite provereno bezbednosno rešenje kao što je Kaspersky Security Cloud za efikasnu ličnu zaštitu protiv poznatih i nepoznatih pretnji.
• Obezbedite svom timu bezbednosnog operativnog centra pristup najnovijim informacijama o pretnjama, i budite u toku sa novim i alatima, tehnikama i taktikama u razvoju, koje koriste akteri pretnji i sajber kriminalci.
• Za otkrivanje na nivou krajnjih tačaka, sprovođenje istrage i blagovremeno saniranje incidenata implementirajte EDR rešenja, kao što je Kaspersky Endpoint Detection and Response.
• Pored usvajanja neophodne endpoint zaštite, implementirajte korporativno bezbednosno rešenje kao što je Kaspersky Anti Targeted Attack Platform koje detektuje napredne pretnje na nivou mreže u ranoj fazi.
Pogledaj vesti o: Kaspersky
.jpg)
