超过10个与宗教、志愿计划、慈善和其他几个领域相关的网站遭到入侵,被选择性地触发浏览即下载攻击,从而在目标设备上设置后门程序。
攻击者使用了一种创新的工具集,其中包括GitHub发行版和开放源代码的使用。de.
水坑是一种针对性的攻击策略,网络罪犯会入侵那些被认为是经常有潜在受害者访问的网站,等待被植入的恶意软件进入受害者的计算机。为了暴露于恶意软件,用户只需访问被入侵网站即可,这使得这种攻击类型非常易于传播,而且更为危险。在卡巴斯基研究人员命名的Holy Water攻击行动中,攻击者在众多隶属于名人、公共机构、慈善机构和多种组织的网站上都设置了水坑。
这种多阶段水坑攻击并不复杂,但是使用了创新性的工具集,所以很独特,因为它自诞生之日起便迅速发展,并且使用了广泛的工具。
在访问其中一个水坑网站时,之前被入侵的资源将加载一个经过混淆的恶意JavaScript脚本,收集访问者的信息。然后,外部服务器将判断访问者是否是攻击目标。如果访问者被验证为目标,第二阶段的JavaScript将加载一个插件,触发下载攻击,显示一个假冒的Adobe Flash更新弹窗。
然后,访问者被引诱进入更新陷阱,并下载一个恶意安装程序包,安装后将会在设备上设置一个名为“Godlike12”的后门程序,为攻击者提供对受感染设备的完全远程访问权限,让攻击者可以修改计算机中的文件,收集机密数据,查看日志行为等。攻击中还使用了另一个被称为Stitch的后门程序,其是开源Python后门程序的修改版。它通过建立直接socket连接与远程服务器交换 AES 加密数据,提供了经典的后门功能。
假冒的Adobe Flash弹窗连接到一个托管在github.com的可执行文件,该文件伪装成了Flash更新文件。在卡巴斯基将该文件上报后,Github在2020年2月14日了该存储库,从而打破了该活动的感染链。但是,该存储库已经上线 9 个月以上,由于 GitHub 的提交历史记录,研究人员能够对攻击者的活动和工具获得独特的见解。
这次的攻击行动之所以出众,是因为其预算低且工具集尚未完全开发,在几个月内已对其进行了数次修改,以利用诸如Google Drive C2之类的有趣功能。卡巴斯基认为这次攻击很可能是由一个小型和敏捷的网络犯罪团队实施的。
“水坑攻击是一种有趣的策略,它通过针对特定人群的定向攻击来获得结果。我们未能目睹任何实时攻击,因此无法确定其行动目标。但是,这次攻击行动再一次表明积极保护在线隐私的重要性。当我们考虑各种社会群体和少数群体时,隐私风险尤其高,因为总有攻击者有兴趣了解更多有关此类群体的信息,”卡巴斯基高级安全研究院Ivan Kwiatkowski评论说。
更多有关这次水坑攻击行动的详情,请访问Securelist.com.
为了避免成为针对组织或个人的针对性攻击的受害者,卡巴斯基建议采取以下措施:
- 如果可能,避免使用Adobe Flash Player。如果无法避免,并且被要求对其进行更新,请检查该产品的官方网站核实是否需要更新,因为大多数网站已经不再使用这款产品,很可能该更新隐藏了恶意内容。
- 使用VPN,通过屏蔽您的真实 IP 地址和隐藏您的真实位置来隐藏您与特定组织的关联。
- 使用经过验证的安全解决方案(例如卡巴斯基安全云)来有效保护自身抵御已知和未知威胁。
- 为您的安全运营中心(SOC)团队提供最新的威胁情报,让他们了解威胁组织和网络罪犯使用的最新工具、技术和战略。
- 对了获得端点级别的检测、调查以及事故及时修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了部署基础端点保护外,还需要部署能够在早期网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
