By 
در پایان سال 2019 ، کارشناسان ما از تکنیک نقطه آب برای کشف یک حمله هدفمند استفاده کردند. بدون استفاده از ترفندهای پیچیده و یا سوءاستفاده از آسیب پذیری ، مهاجمان طی مدت زمان حداقل هشت ماه ، دستگاه های کاربران را در آسیا آلوده کردند. براساس موضوع وب سایتهایی که برای پخش بدافزارها استفاده شده بودند ، این حمله لقب گرفته است ، بله ، Holy Water. این دومین حمله ای است که ما در طی چند ماه برای استفاده از چنین تاکتیکی ها کشف کرده ایم (برای کشف دیگر توسط محققان ما اینجا را ببینید). چگونه آب مقدس دستگاه های کاربران را آلوده کرد؟
به نظر می رسد که مهاجمان در یک لحظه سرور میزبان صفحات وب را که عمدتا متعلق به شخصیت های مذهبی ، سازمان های عمومی و خیریه است ، به خطر انداختند. مجرمان سایبری اسکریپت های مخرب را در کد این صفحات قرار داده اند ، که در آن زمان برای انجام حملات مورد استفاده قرار می گرفتند.
وقتی کاربران از یک صفحه آلوده بازدید می کردند ، اسکریپت ها از ابزارهای کاملاً قانونی برای جمع آوری اطلاعات در مورد آنها و انتقال آنها به سرور شخص ثالث برای تأیید اعتبار استفاده می کردند. ما نمی دانیم که چگونه قربانیان انتخاب شده اند ، اما در پاسخ به اطلاعات دریافت شده ، اگر هدف امیدوار کننده بود ، سرور دستور ادامه حمله را ارسال می کند. مرحله بعدی شامل یک ترفند استاندارد در حال حاضر است (در مدت زمان بیش از یک دهه استفاده می شود): از کاربر خواسته شد Adobe Flash Player را به روز کند ، که قرار بود منسوخ شده و یک خطر امنیتی باشد. اگر قربانی رضایت داد ، به جای به روزرسانی موعود ، درپشتی Godlike12 روی رایانه بارگیری و نصب شد. کد مخرب را ذخیره کنید (در فضای باز در GitHub ذکر شد). او از طریق Google Drive با سرورهای C&C ارتباط برقرار کرد. پشتیبان یک شناسه را در حافظه Google Drive قرار داده و برای تأیید سفارشات مهاجمان ، به طور مرتب با آن تماس می گرفت. نتایج اجرای این دستورات نیز در آنجا بارگیری شده است. به گفته کارشناسان ما ، هدف از این حمله شناسایی و جمع آوری اطلاعات از دستگاه های به خطر افتاده بود.
برای کسانی که علاقه مند به جزئیات فنی و ابزارهای مورد استفاده هستند ، به انتشار Securelist در آب مقدس مراجعه کنید ، که همچنین نشانگر شاخص های سازش است.
چگونه می توان از خود محافظت کرد
تاکنون ، ما فقط در آسیا آب مقدس دیده ایم. با این حال ، ابزارهای مورد استفاده در مبارزات انتخاباتی بسیار ساده هستند و به راحتی می توانند در جای دیگری مستقر شوند. بنابراین ، توصیه می کنیم همه کاربران بدون توجه به موقعیت مکانی خود ، این توصیه ها را جدی بگیرند.
ما نمی توانیم بگوییم که این حمله بر علیه افراد یا سازمانهای خاصی انجام شده است. اما یک چیز مسلم است: هرکسی می تواند به سایت های آلوده چه از طریق دستگاه منزل و چه از طریق دفتر مراجعه کند. بنابراین ، توصیه اصلی ما محافظت از هر وسیله ای با دسترسی به اینترنت است. ما راه حلهای امنیتی را برای رایانه های شخصی و شرکت ارائه می دهیم. محصولات ما تمامی ابزارها و تکنیکهای مورد استفاده سازندگان آب مقدس را ردیابی و مسدود می کند.
! تابع (f، b، e، v، n، t، s) {if (f.fbq) بازگشت؛ n = f.fbq = تابع () n.callMethod؟
n.callMethod.apply (n ، argument): n.queue.push (آرگومان)}؛ اگر (! f._fbq) f._fbq = n؛
n.push = n؛ n.loaded =! 0؛ n.version = & # 39؛ 2.0 & # 39 ؛؛ n.queue = []؛ t = b.createElement (e)؛ t.async =! 0؛
t.src = v؛ s = b.getElementsByTagName (e) [0]؛ s.parentNode.insert قبل از (t ، s)} (پنجره ،
سند ، & # 39؛ اسکریپت & # 39؛ ، & # 39؛ // connect.facebook.net/en_US/fbevents.js'؛)؛
fbq (& # 39؛ init & # 39؛، & # 39؛ 839281392784015 & # 39؛)؛
fbq (& # 39؛ track & # 39؛، & # 39؛ PageView & # 39؛)؛
(function (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {Return js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
