ScanBoxi pahavara

ScanBoxi pahavara on oht, mida küberkurjategijad saavad kasutada rikutud seadmetes arvukate pealetükkivate toimingute tegemiseks. Oht on enamasti seotud Hiina toetatud häkkimisorganisatsioonide tegevusega. Mõned silmapaistvamad ohutegijad, kes on ScanBoxi raamistikke oma rünnakukampaaniate osana kasutusele võtnud, on APT10 (Punane Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) ja TA413 (Lucky Cat). Küberjulgeoleku teadlaste raporti kohaselt on ScanBox viimasel ajal olnud APT40 poolt läbi viidud andmepüügirünnakute seeria oluline komponent. See küberkurjategijate rühmitus on tuntud ka kui TA423, Red Ladon ja Leviathan.

Rünnakud olid suunatud peamiselt Austraalia valitsusasutustele, Austraalia uudiste- ja meediaettevõtetele ning Lõuna-Hiina merel tegutsevatele rahvusvahelistele rasketööstuse tootjatele. APT40-l on Aasia ja Vaikse ookeani piirkonna ning täpsemalt Lõuna-Hiina mere üksuste sihtimise muster. 2021. aastal teatas USA valitsus, et on tõendeid selle kohta, et sellel konkreetsel APT (Advanced Persistent Threat) rühmitusel on sidemed Hiina riikliku julgeolekuministeeriumiga.

Rünnaku üksikasjad

ScanBoxi rünnakud algavad andmepüügimeilide levitamisega, mis sisaldavad häkkerite kontrollitavale domeenile viivat URL-i. Küberkurjategijad teesklevad, et nad on väljamõeldud Austraalia meediaväljaannete ettevõtte "Australian Morning News" töötaja. Nad paluvad sihtmärkidel jagada võltsettevõtte avaldatavat uurimissisu või vaadata selle veebisaiti, järgides esitatud URL-i linki.

Veebisaidi sihtleht on loodud ScanBoxi raamistiku JavaScripti kasuliku koormuse edastamiseks sihtmärgile. See esialgne komponent võib koguda erinevat teavet ohvri arvuti kohta - praegune kellaaeg, brauseri keel, installitud Flashi versioon, geolokatsioon, ekraani laius ja kõrgus, mis tahes märgikodeering ja palju muud. Kõik saadud andmed edastatakse operatsiooni Command-and-Control (C&C, C2C) serverisse.

C&C saadab vastuse, mis sisaldab juhiseid selle kohta, millised rikutud pistikprogrammid tuleks tuua ja ohvri brauseris käivitada. Moodulid on loodud konkreetsete ülesannete täitmiseks, olenevalt ründajate täpsetest eesmärkidest. Küberturbeteadlased on tuvastanud mitu sellist pluginat klahvilogimiseks, brauseri sõrmejälgede võtmiseks, vastastikuse ühenduse jaoks, pistikprogrammi, mis kontrollib konkreetseid turbe- ja pahavaravastaseid tööriistu, ja pistikprogrammi, mis suudab tuvastada seaduslikult installitud brauseri pistikprogrammid.