Жертвы Holy Water заражаются через часто посещаемые сайты – «Лаборатория Касперского»
В ходе целевой кампании, которая действует с мая 2019 года и направлена на пользователей в Азии, было заражено более десяти часто посещаемых потенциальными жертвами сайтов, связанных с религией, волонтёрскими и благотворительными программами. Такой тип атаки, позволяющий зловреду проникнуть на устройство сразу после посещения пользователем скомпрометированного ресурса, называется watering hole («атака на водопое»).
Обнаруженная «Лабораторией Касперского» кампания получила название Holy Water, в рамках которой злоумышленники используют нестандартные подходы. Главные особенности — быстрое эволюционирование и применение широкого набора инструментов, в частности, атакующие использовали хранилище GitHub и ПО с открытым исходным кодом.
В ходе кампании на интернет-страницы внедрялся загрузчик, который позволял установить на устройства жертв бэкдор сразу после посещения ими скомпрометированного ресурса. Такое ПО открывает полный доступ к заражённому устройству: позволяет вносить изменения в файлы, собирать конфиденциальную информацию с устройства и данные о проводимых на нём действиях. Еще один бэкдор позволял обмениваться зашифрованными данными с удалённым сервером. Его задача — собрать информацию о посетителе и проверить, является ли он целью. Если да, то на его устройство загружается плагин, который провоцирует загрузку, показывая фейковое обновление Adobe Flash. Файл, который позволял исполнять фейковое всплывающее уведомление от Adobe Flash, хранился на GitHub.
Чтобы не стать жертвой целевых атак, эксперты частным пользователям рекомендуют по возможности избегать использования Adobe Flash Player, но, если по каким-то причинам это невозможно и пользователя просят его обновить, проверять на официальном сайте, нуждается ли продукт в обновлении, поскольку он более не поддерживается большинством сайтов и, с большой степенью вероятности, обновление содержит вредоносный код; использовать VPN; установить надёжное защитное решение для эффективной защиты от известных и неизвестных угроз.
А организациям рекомендуется предоставить сотрудникам отделов безопасности или центров управления информационной безопасностью (SOC) доступ к самым свежим данным о киберугрозах, чтобы они были в курсе новых инструментов, техник и тактик злоумышленников; использовать решения для защиты конечных устройств, чтобы оградить от киберугроз конечные устройства; внедрить корпоративное решение, которое детектирует сложные угрозы на сетевом уровне на ранней стадии.