Holy Water, 아시아의 종교적 인물과 자선 단체 노려

Holy Water targets religious figures and charities in Asia

한 APT 그룹이 워터링 홀 공격인 Holy Water를 통해 주로 종교적 인물과 자선 단체 관련 웹 페이지를 호스팅하는 서버를 해킹한 것으로 나타났습니다.

2019년 12월 4일, 카스퍼스키의 전문가들이 워터링홀 공격인 Holy Water를 발견했습니다. 이는 아시아의 종교 및 인종 집단을 노렸으며 최소 2019년 5월부터 활성화 되었으며 가짜 어도비 플래시 업데이트 경고를 통해 배포되었습니다.

전문가들은 공격자들이 진화해 온 것으로 추정했습니다. 이들은 캠페인에 Sojson 난독화, NSIS 인스톨러, 파이썬, 오픈소스 코드, GitHub 배포, Go 랭귀지, 구글 Drive 기반 C2 채널을 사용하는 것으로 나타났습니다.

하지만 공격의 실질적인 타깃이 무엇인지는 아직까지 명확히 밝혀지지 않았습니다.

“워터링 홀은 타깃 그룹의 개인, 공공기관, 자선단체 및 조직의 웹사이트에 설정되어 있었습니다. 이 글을 쓰고 있는 현재, 이 웹사이트 중 일부(동일한 서버에 호스팅)는 여전히 해킹된 상태이며 선별된 방문자를 악성 페이로드로 보내고 있습니다”

사용자가 워터링홀 웹사이트 중 하나를 방문하면, 해킹된 내장 리소스가 워터링홀이 설정된 웹사이트 중 하나에서 호스팅하는 악성 자바스크립트를 로드합니다. 이는 방문자의 정보를 모아 타깃이 될지 아닌지 확인합니다.

방문자가 잠재적 타깃으로 판단될 경우, 공격 체인이 시작됩니다. 자바스크립트는 피해자에게 가짜 업데이트 팝업을 표시하며 드라이브-바이-다운로드 공격을 트리거하는 두 번째 스크립트를 로드합니다.

피해자는 악성 인스톨러 패키지를 숨기고 있는 가짜 업데이트를 설치하도록 속게 됩니다. 이 패키지는 이후 백도어를 설정합니다.

이 자바스크립트를 분석 결과 공격자들이 MacOS 사용자들 또한 노릴 가능성도 있다는 사실을 알 수 있었습니다.

공격자는 악성 실행파일을 저장하기 위해 GitHub 저장소를 이용했습니다. GitHub은 2월 14일 카스퍼스키의 제보를 받은 후 해당 저장소를 비활성화했습니다.

이 저장소는 9개월 이상 온라인 상태였습니다. GitHub은 전문가들에게 커밋 히스토리를 제공해 공격자의 활동 및 툴에 대한 정보를 알 수 있도록 배려했습니다.

전문가들은 해당 저장소에 호스팅된 실행 파일 4개를 발견했습니다. 이들은 미끼인 정식 플래시 업데이트와 스테이저를 내장한 인스톨러 패키지, C2 채널을 기반으로 하는 구글 드라이브를 구현하는 Go 백도어인 Godlike12, 공격자가 커스터마이징 한 오픈 소스 Stitch 파이썬 백도어 버전 2개였습니다.

전문가들은 공격자가 저예산 툴셋을 사용했지만, 이를 진화시키기 위해 상당한 노력을 기울였음을 발견했습니다.

“공격자는 해킹된 웹사이트 약 10개와 임플란트 호스트 수십 개를 통해 규모는 크지만 극히 타깃형 워터링 홀 공격을 실행하고 있습니다. 사용하는 툴 셋은 저 예산이고 개발이 완료되지 않은 것으로 보이지만, 구글 드라이브 C2 등 흥미로운 기능을 이용하기 위해 몇 달간 수정되어 왔습니다. 이는 소규모 민첩한 팀의 특징입니다.”

“실제 공격을 살펴볼 수는 없었지만, 일부 증거를 통해 Godlike12 백도어가 광범위하게 확산되지 않았으며 정찰 및 데이터 추출 작업에 사용되었다는 것을 확인했습니다. 현재까지 알려진 APT 그룹과 이 공격을 연결시키지는 못했습니다.”

현재 알약에서는 해당 악성코드들에 대해 Trojan.Python.Stitch, Trojan.Agent.Casdet, Trojan.APosT.gen으로 탐지중에 있습니다. 

출처 : 

https://securityaffairs.co/wordpress/100818/hacking/holy-water-watering-hole-attacks.html