Eind 2019 gebruikten onze experts de watering hole-techniek om een gerichte aanval te ontmaskeren. Zonder het gebruik van geavanceerde trucs of het exploiteren van kwetsbaarheden infecteerden de aanvallers gebruikersapparaten in Azië gedurende een periode van minstens acht maanden. Gebaseerd op het onderwerp van de websites die werden gebruikt om de malware te verspreiden werd de aanval, ja wel, Holy Water gedoopt. Dit is de tweede aanval die we in meerdere maanden hebben ontdekt die zulke tactieken gebruikt (kijk hier voor de andere vondsten van onze onderzoekers).
Hoe infecteerde Holy Water gebruikersapparaten?
Het lijkt erop dat de aanvallers op een gegeven moment op een server inbraken die webpagina’s hostte die voornamelijk aan religieuze figuren, publieke organisaties en goede doelen toebehoorden. De cybercriminelen integreerden schadelijke scripts in de code van deze pagina’s, die vervolgens werden gebruikt om de aanvallen uit te voeren.
Als gebruikers een geïnfecteerde pagina bezochten, gebruikten de scripts volkomen legitieme tools om gegevens over ze te verzamelen en deze ter validatie door te sturen naar een externe server. We weten niet hoe de slachtoffers werden geselecteerd, maar als reactie op de ontvangen informatie, stuurde de server, als het doelwit veelbelovend was, een commando om de aanval voort te zetten.
Bij de volgende stap was er een inmiddels standaard-truc betrokken (die al meer dan tien jaar gebruikt wordt): De gebruikers werd gevraagd om Adobe Flash Player te updaten, die plotseling verouderd was en een beveiligingsrisico vormde. Als het slachtoffer hier toestemming voor gaf, dan werd in plaats van de beloofde update de Godlike12-achterdeur gedownload en op de computer geïnstalleerd.
Het gevaar van Godlik12
De breinen achter de aanval maakten actief gebruik van legitieme diensten, zowel voor het profileren van slachtoffers als voor het opslaan van de schadelijke code (de achterdeur werd genoemd op GitHub). Het communiceerde met de C&C-servers via Google Drive.
De achterdeur plaatste een identificator in de Google Drive-opslag en werd regelmatig opgeroepen om hem te controleren op commando’s van de aanvallers. De resultaten van het uitvoeren van zulke commando’s werden daar ook geüpload. Volgens onze experts was het doel van de aanval verkenning en verzameling van informatie van geïnfecteerde apparaten.
Degenen die geïnteresseerd zijn in de technische details en de gebruikte tools, kunnen Securelists post over Holy Water lezen, waar ook een lijst met de indicatoren van inbraak te vinden is.
Hoe u zich hiertegen beschermt
Tot dusverre hebben we Holy Water alleen in Azië gezien. Maar de tools die in de campagne worden gebruikt zijn vrij eenvoudig en kunnen eenvoudig ergens anders worden ingezet. Daarom raden we alle gebruikers aan om deze aanbevelingen serieus te nemen, ongeacht hun locatie.
We durven niet te zeggen of de aanval gericht is op bepaalde individuen of organisaties. Maar één ding is zeker: iedereen kan de geïnfecteerde websites bezoeken, zowel thuis als vanaf werkapparaten. Daarom is ons belangrijkste advies om elk apparaat met toegang tot het internet te beschermen. Wij bieden beveiligingssystemen voor zowel persoonlijke als zakelijke computers aan. Onze producten detecteren en blokkeren alle tools en technieken die de makers van Holy Water gebruiken.