Threat Database Malware Κακόβουλο λογισμικό ScanBox

Κακόβουλο λογισμικό ScanBox

Το κακόβουλο λογισμικό ScanBox είναι μια απειλή που μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για την εκτέλεση πολυάριθμων, παρεμβατικών ενεργειών σε συσκευές που έχουν παραβιαστεί. Η απειλή συνδέεται κυρίως με τις δραστηριότητες οργανώσεων hacking που υποστηρίζονται από την Κίνα. Μερικοί από τους πιο αξιοσημείωτους παράγοντες απειλών που έχουν αναπτύξει τα πλαίσια ScanBox ως μέρος των εκστρατειών επίθεσης περιλαμβάνουν το APT10 (Red Apollo, Stone Panda), το APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) και TA413 (Lucky Cat). Σύμφωνα με έκθεση ερευνητών κυβερνοασφάλειας, το ScanBox ήταν πιο πρόσφατα ένα κρίσιμο συστατικό μιας σειράς επιθέσεων phishing που πραγματοποιήθηκαν από την APT40. Αυτή η κυβερνοεγκληματική ομάδα είναι επίσης γνωστή ως TA423, Red Ladon και Leviathan.

Οι επιθέσεις επικεντρώθηκαν κυρίως σε αυστραλιανές κυβερνητικές υπηρεσίες, αυστραλιανές εταιρείες ειδήσεων και μέσων ενημέρωσης, καθώς και σε διεθνείς κατασκευαστές βαριάς βιομηχανίας που δραστηριοποιούνται στη Θάλασσα της Νότιας Κίνας. Το APT40 έχει ένα καθιερωμένο πρότυπο στόχευσης οντοτήτων στην περιοχή Ασίας-Ειρηνικού και, πιο συγκεκριμένα, στη Θάλασσα της Νότιας Κίνας. Το 2021, η κυβέρνηση των ΗΠΑ δήλωσε ότι υπάρχουν στοιχεία ότι η συγκεκριμένη ομάδα APT (Advanced Persistent Threat) έχει δεσμούς με το Υπουργείο Κρατικής Ασφάλειας της Κίνας.

Λεπτομέρειες επίθεσης

Οι επιθέσεις ScanBox ξεκινούν με τη διάδοση email phishing που περιέχουν μια διεύθυνση URL που οδηγεί σε έναν τομέα που ελέγχεται από χάκερ. Οι εγκληματίες του κυβερνοχώρου θα προσποιούνταν ότι είναι υπάλληλος μιας κατασκευασμένης αυστραλιανής εταιρείας εκδόσεων μέσων ενημέρωσης που ονομάζεται «Australian Morning News». Θα ζητούσαν από τους στόχους να μοιραστούν περιεχόμενο έρευνας που θα δημοσιευτεί από την ψεύτικη εταιρεία ή να προβάλουν τον ιστότοπό της ακολουθώντας έναν παρεχόμενο σύνδεσμο URL.

Η σελίδα προορισμού του ιστότοπου έχει σχεδιαστεί για να παρέχει ένα ωφέλιμο φορτίο JavaScript του πλαισίου ScanBox στον στόχο. Αυτό το αρχικό στοιχείο μπορεί να συλλέξει διάφορες πληροφορίες σχετικά με τον υπολογιστή του θύματος - την τρέχουσα ώρα, τη γλώσσα του προγράμματος περιήγησης, την εγκατεστημένη έκδοση Flash, τη γεωγραφική τοποθεσία, το πλάτος και το ύψος της οθόνης, οποιαδήποτε κωδικοποίηση χαρακτήρων και άλλα. Όλα τα δεδομένα που λαμβάνονται μεταδίδονται στον διακομιστή Command-and-Control (C&C, C2C) της λειτουργίας.

Η C&C θα στείλει μια απάντηση που περιέχει οδηγίες σχετικά με το ποιες κατεστραμμένες προσθήκες πρέπει να ανακτηθούν και να εκτελεστούν στο πρόγραμμα περιήγησης του θύματος. Οι μονάδες έχουν σχεδιαστεί για να εκτελούν συγκεκριμένες εργασίες, ανάλογα με τους ακριβείς στόχους των επιτιθέμενων. Οι ερευνητές της κυβερνοασφάλειας έχουν εντοπίσει πολλές τέτοιες προσθήκες για καταγραφή πληκτρολογίου, δακτυλικό αποτύπωμα προγράμματος περιήγησης, σύνδεση ομοτίμων, μια προσθήκη που ελέγχει για συγκεκριμένα εργαλεία ασφάλειας και κατά του κακόβουλου λογισμικού και μια προσθήκη που μπορεί να αναγνωρίσει τα νόμιμα εγκατεστημένα πρόσθετα του προγράμματος περιήγησης.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...