Malware ScanBox

ScanBox Malware je hrozba, kterou mohou využít kyberzločinci k provádění mnoha rušivých akcí na narušených zařízeních. Hrozba je většinou spojena s aktivitami hackerských organizací podporovaných Čínou. Mezi některé z významnějších aktérů hrozeb, kteří nasadili rámce ScanBox jako součást svých útočných kampaní, patří APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) a TA413 (Lucky Cat). Podle zprávy výzkumníků v oblasti kybernetické bezpečnosti byl ScanBox v poslední době klíčovou součástí řady phishingových útoků prováděných APT40. Tato kyberzločinecká skupina je také známá jako TA423, Red Ladon a Leviathan.

Útoky byly zaměřeny především na australské vládní agentury, australské zpravodajské a mediální společnosti a také na mezinárodní výrobce těžkého průmyslu působící v Jihočínském moři. APT40 má zavedený vzorec cílení na subjekty v asijsko-pacifickém regionu a konkrétněji v Jihočínském moři. V roce 2021 americká vláda uvedla, že existují důkazy, že tato konkrétní skupina APT (Advanced Persistent Threat) má vazby na ministerstvo státní bezpečnosti Číny.

Podrobnosti o útoku

Útoky ScanBox začínají šířením phishingových e-mailů obsahujících URL vedoucí k doméně kontrolované hackery. Kyberzločinci by předstírali, že jsou zaměstnancem vymyšlené australské mediální vydavatelské společnosti s názvem „Australian Morning News“. Požádali by cíle, aby sdíleli výzkumný obsah, který má být zveřejněn falešnou společností, nebo by si prohlédli její web pomocí poskytnutého odkazu URL.

Vstupní stránka webu je navržena tak, aby doručila užitečné zatížení JavaScriptu z rámce ScanBox do cíle. Tato počáteční komponenta může shromažďovat různé informace o počítači oběti – aktuální čas, jazyk prohlížeče, nainstalovanou verzi Flash, geolokaci, šířku a výšku obrazovky, libovolné kódování znaků a další. Všechna získaná data jsou přenášena na server Command-and-Control (C&C, C2C) operace.

C&C odešle odpověď obsahující instrukce o tom, které poškozené pluginy by měly být načteny a spuštěny v prohlížeči oběti. Moduly jsou navrženy tak, aby plnily konkrétní úkoly v závislosti na přesných cílech útočníků. Výzkumníci v oblasti kybernetické bezpečnosti identifikovali několik takových pluginů pro keylogging, otisky prstů prohlížeče, peer připojení, plugin, který kontroluje specifické bezpečnostní a antimalwarové nástroje, a plugin, který dokáže identifikovat legitimně nainstalované pluginy prohlížeče.