Ende 2019 deckten unsere Experten mithilfe der Watering Hole Technik einen zielgerichteten Angriff auf, bei dem die Angreifer – ohne raffinierte Tricks – Benutzergeräte in Asien über einen Zeitraum von mindestens acht Monaten infizierten. Basierend auf den Inhalten der Websites, auf denen die Malware verbreitet wurde, wurde der Angriff auf den Namen Holy Water (dt. Weihwasser) getauft. Dies ist bereits der zweite Angriff, den wir wir innerhalb der letzten Monate entdeckt haben, der solche Taktiken einsetzt. (Hier finden Sie den anderen Fund unserer Forscher.)
Wie hat Holy Water Benutzergeräte infiziert?
Es scheint, als hätten die Angreifer einen Server kompromittiert, auf dem Webseiten gehostet werden, die hauptsächlich religiösen Persönlichkeiten, öffentlichen Organisationen und Wohltätigkeitsorganisationen gehören. Die Cyberkriminellen haben schädliche Skripte in den Quellcode dieser Seiten eingebettet, die dann zur Durchführung der Angriffe verwendet wurden.
Wenn ein Nutzer dann eine infizierte Seite besuchte, verwendeten die Skripte absolut legitime Tools, um Daten über sie zu sammeln und diese dann zur Überprüfung an einen Drittanbieterserver weiterzuleiten. Wir wissen nicht, wie die Opfer ausgewählt wurden, aber als Antwort auf die erhaltenen Informationen hat der Server, wenn das Ziel vielversprechend war, einen Befehl gesendet, um den Angriff fortzusetzen.
Der nächste Schritt umfasste einen Standardtrick (der seit mehr als einem Jahrzehnt verwendet wird): Der Benutzer wurde aufgefordert, den angeblich veralteten Adobe Flash Player zu aktualisieren. Fiel der Nutzer auf die Falle herein, wurde anstelle des versprochenen Updates die Backdoor Godlike12 auf dem Computer installiert.
Die Gefahr von Godlike12
Die Köpfe hinter dem Angriff nutzten legitime Dienste aktiv, sowohl zum Profiling von Opfern als auch zum Speichern des Schadcodes (die Backdoor wurde auf GitHub zitiert). Über Google Drive kommunizierte Godlike12 mit den C & C-Servern.
Die Backdoor hat eine ID in Google Drive abgespeichert und diese regelmäßig aufgerufen, um nach Befehlen der Angreifer zu suchen. Dort wurden auch die Ergebnisse solcher Befehlsausführungen hochgeladen. Laut unseren Experten bezweckte man mit diesem Angriff das Sammeln von Informationen kompromittierter Geräte.
Für diejenigen, die an den technischen Details und den verwendeten Tools interessiert sind, können auf Securelist einen Beitrag zu Holy Water lesen, in dem auch die Kompromittierungsindikatoren (IoC) aufgeführt sind.
Wie Sie sich schützen können
Bisher haben wir Holy Water nur in Asien gesehen. Die in der Kampagne verwendeten Tools sind jedoch recht einfach und können problemlos an anderer Stelle bereitgestellt werden. Wir empfehlen daher allen Benutzern, diese Empfehlungen unabhängig von ihrem Standort ernst zu nehmen.
Wir können nicht sagen, ob der Angriff gegen bestimmte Personen oder Organisationen gerichtet ist. Eines ist jedoch sicher: Jeder kann die infizierten Websites sowohl von zu Hause als auch von der Arbeit aus besuchen. Daher raten wir, jedes Gerät mit Internetzugang zu schützen. Wir bieten Sicherheitslösungen für heimische PCs und Firmenrechner an. Unsere Produkte erkennen und blockieren alle Angriffstechniken und Angrifftools, die die Entwickler von Holy Water verwenden.