ScanBox Malware

ScanBox Malware er en trussel, der kan bruges af cyberkriminelle til at udføre adskillige, påtrængende handlinger på brudte enheder. Truslen er for det meste forbundet med aktiviteterne i kinesisk-støttede hackerorganisationer. Nogle af de mere bemærkelsesværdige trusselsaktører, der har implementeret ScanBox-rammerne som en del af deres angrebskampagner, inkluderer APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) og TA413 (Lucky Cat). Ifølge en rapport fra cybersikkerhedsforskere har ScanBox for nylig været en afgørende komponent i en række phishing-angreb udført af APT40. Denne cyberkriminelle gruppe er også kendt som TA423, Red Ladon og Leviathan.

Angrebene var primært fokuseret på australske regeringsagenturer, australske nyheds- og medievirksomheder samt internationale tungindustriproducenter, der opererer i Det Sydkinesiske Hav. APT40 har et etableret mønster for at målrette enheder i Asien-Stillehavsområdet og mere specifikt Det Sydkinesiske Hav. Tilbage i 2021 udtalte den amerikanske regering, at der er beviser for, at denne særlige APT-gruppe (Advanced Persistent Threat) har forbindelser til Kinas ministerium for statssikkerhed.

Angrebsdetaljer

ScanBox-angrebene begynder med spredning af phishing-e-mails, der indeholder en URL, der fører til et domæne, der kontrolleres af hackere. Cyberkriminelle ville foregive, at de er ansat i et opdigtet australsk medieudgivelsesfirma ved navn 'Australian Morning News.' De ville bede målene om at dele forskningsindhold, der skal offentliggøres af den falske virksomhed eller se dens hjemmeside ved at følge et givet URL-link.

Hjemmesidens landingsside er designet til at levere en JavaScript-nyttelast af ScanBox-rammeværket til målet. Denne indledende komponent kan indsamle forskellige oplysninger om ofrets computer - aktuel tid, browsersprog, den installerede Flash-version, geoplacering, bredden og højden af skærmen, enhver tegnkodning og mere. Alle de opnåede data overføres til kommando-og-kontrol-serveren (C&C, C2C) for operationen.

C&C sender et svar, der indeholder instruktioner om, hvilke beskadigede plugins der skal hentes og udføres i offerets browser. Modulerne er designet til at udføre specifikke opgaver, afhængigt af angriberens nøjagtige mål. Cybersikkerhedsforskerne har identificeret flere sådanne plugins til keylogging, browser-fingeraftryk, peer-forbindelse, et plugin, der tjekker for specifikke sikkerheds- og anti-malware-værktøjer, og et plugin, der kan identificere de lovligt installerede browser-plugins.