2019年12月4日,卡巴斯基研究人员发现了一些水坑攻击网站,这些网站可以利用伪造的Adobe Flash更新来选择性地触发顺带下载攻击。该攻击活动自2019年月开始活动,主要攻击对象是亚洲的民族和宗教组织。
研究人员分析发现攻击者使用的工具仍在开发中,其中使用了Sojson混淆、NSIS安装器、python、开源代码、GitHub、Go语音和基于Google Drive的C2信道。
截止目前,攻击者的目的还不清楚,奇热也没有与已知的APT攻击组织相关联。
Thou shalt 更新插件
水坑攻击活动被设置在属于目标组织的个人、公共机构、慈善组织和企业。截至目前,有一些网站仍然处于被黑状态,仍在将访问者重定向到恶意payload:
访问水坑网站后,之前被黑的但是合法的嵌入资源就会加载恶意JS文件。如图1所示,外部服务会确认访问者是否是目标。
图 1. 目标验证服务请求
如果访问者经过验证是模板,第一个JS阶段就会加载第二阶段JS,触发drive-</