{"id":25238,"date":"2020-04-07T14:54:42","date_gmt":"2020-04-07T12:54:42","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25238"},"modified":"2020-06-23T16:12:27","modified_gmt":"2020-06-23T14:12:27","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/","title":{"rendered":"Gevaarlijk wijwater"},"content":{"rendered":"

Eind 2019 gebruikten onze experts de watering hole<\/a>-techniek om een gerichte aanval te ontmaskeren. Zonder het gebruik van geavanceerde trucs of het exploiteren van kwetsbaarheden infecteerden de aanvallers gebruikersapparaten in Azi\u00eb gedurende een periode van minstens acht maanden. Gebaseerd op het onderwerp van de websites die werden gebruikt om de malware te verspreiden werd de aanval, ja wel, Holy Water gedoopt. Dit is de tweede aanval die we in meerdere maanden hebben ontdekt die zulke tactieken gebruikt (kijk hier<\/a> voor de andere vondsten van onze onderzoekers).<\/p>\n

Hoe infecteerde Holy Water gebruikersapparaten?<\/h2>\n

Het lijkt erop dat de aanvallers op een gegeven moment op een server inbraken die webpagina\u2019s hostte die voornamelijk aan religieuze figuren, publieke organisaties en goede doelen toebehoorden. De cybercriminelen integreerden schadelijke scripts in de code van deze pagina\u2019s, die vervolgens werden gebruikt om de aanvallen uit te voeren.<\/p>\n

Als gebruikers een ge\u00efnfecteerde pagina bezochten, gebruikten de scripts volkomen legitieme tools om gegevens over ze te verzamelen en deze ter validatie door te sturen naar een externe server. We weten niet hoe de slachtoffers werden geselecteerd, maar als reactie op de ontvangen informatie, stuurde de server, als het doelwit veelbelovend was, een commando om de aanval voort te zetten.<\/p>\n

Bij de volgende stap was er een inmiddels standaard-truc betrokken (die al meer dan tien jaar gebruikt wordt): De gebruikers werd gevraagd om Adobe Flash Player te updaten, die plotseling verouderd was en een beveiligingsrisico vormde. Als het slachtoffer hier toestemming voor gaf, dan werd in plaats van de beloofde update de Godlike12-achterdeur gedownload en op de computer ge\u00efnstalleerd.<\/p>\n

Het gevaar van Godlik12<\/h2>\n

De breinen achter de aanval maakten actief gebruik van legitieme diensten, zowel voor het profileren van slachtoffers als voor het opslaan van de schadelijke code (de achterdeur werd genoemd op GitHub). Het communiceerde met de C&C-servers via Google Drive.<\/p>\n

De achterdeur plaatste een identificator in de Google Drive-opslag en werd regelmatig opgeroepen om hem te controleren op commando\u2019s van de aanvallers. De resultaten van het uitvoeren van zulke commando\u2019s werden daar ook ge\u00fcpload. Volgens onze experts was het doel van de aanval verkenning en verzameling van informatie van ge\u00efnfecteerde apparaten.<\/p>\n

Degenen die ge\u00efnteresseerd zijn in de technische details en de gebruikte tools, kunnen Securelists post over Holy Water<\/a> lezen, waar ook een lijst met de indicatoren van inbraak te vinden is.<\/p>\n

Hoe u zich hiertegen beschermt<\/h2>\n

Tot dusverre hebben we Holy Water alleen in Azi\u00eb gezien. Maar de tools die in de campagne worden gebruikt zijn vrij eenvoudig en kunnen eenvoudig ergens anders worden ingezet. Daarom raden we alle gebruikers aan om deze aanbevelingen serieus te nemen, ongeacht hun locatie.<\/p>\n

We durven niet te zeggen of de aanval gericht is op bepaalde individuen of organisaties. Maar \u00e9\u00e9n ding is zeker: iedereen kan de ge\u00efnfecteerde websites bezoeken, zowel thuis als vanaf werkapparaten. Daarom is ons belangrijkste advies om elk apparaat met toegang tot het internet te beschermen. Wij bieden beveiligingssystemen voor zowel persoonlijke<\/a> als zakelijke<\/a> computers aan. Onze producten detecteren en blokkeren alle tools en technieken die de makers van Holy Water gebruiken.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Aanvallers infecteren computers van gebruikers met een achterdeur die zich voordoet als een update voor Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":25240,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[555,762,654],"class_list":{"0":"post-25238","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-gerichte-aanval","12":"tag-watering-hole"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/holy-water-apt\/28021\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=25238"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25238\/revisions"}],"predecessor-version":[{"id":25242,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25238\/revisions\/25242"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/25240"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=25238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=25238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=25238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}