بدافزار ScanBox
بدافزار ScanBox تهدیدی است که میتواند توسط مجرمان سایبری برای انجام اقدامات متعدد و مزاحم بر روی دستگاههای نفوذ شده مورد استفاده قرار گیرد. این تهدید بیشتر با فعالیتهای سازمانهای هکری مورد حمایت چین مرتبط است. برخی از مهمترین بازیگران تهدید که چارچوبهای ScanBox را به عنوان بخشی از کمپینهای حمله خود به کار گرفتهاند عبارتند از APT10 (Red Apollo، Stone Panda)، APT27 (Emissary Panda، Lucky Mouse، Red Phoenix) و TA413 (گربه خوش شانس). طبق گزارش محققان امنیت سایبری، ScanBox اخیراً جزء مهمی از یک سری حملات فیشینگ انجام شده توسط APT40 بوده است. این گروه مجرم سایبری با نام های TA423، Red Ladon و Leviathan نیز شناخته می شود.
این حملات عمدتاً بر آژانسهای دولتی استرالیا، شرکتهای خبری و رسانهای استرالیا و همچنین تولیدکنندگان صنایع سنگین بینالمللی که در دریای چین جنوبی فعالیت میکنند، متمرکز بود. APT40 یک الگوی ثابت برای هدف قرار دادن نهادها در منطقه آسیا-اقیانوسیه و به طور خاص، دریای چین جنوبی دارد. در سال 2021، دولت ایالات متحده اعلام کرد که شواهدی وجود دارد که نشان می دهد این گروه خاص APT (تهدید پایدار پیشرفته) با وزارت امنیت دولتی چین ارتباط دارد.
جزئیات حمله
حملات ScanBox با انتشار ایمیلهای فیشینگ حاوی URL منتهی به دامنهای که توسط هکرها کنترل میشود آغاز میشود. مجرمان سایبری وانمود می کنند که کارمند یک شرکت انتشارات رسانه ای ساختگی استرالیا به نام «اخبار صبح استرالیا» هستند. آنها از اهداف می خواهند محتوای تحقیقاتی را به اشتراک بگذارند تا توسط شرکت جعلی منتشر شود یا وب سایت آن را با دنبال کردن یک پیوند URL ارائه شده مشاهده کنند.
صفحه فرود وب سایت به گونه ای طراحی شده است که یک بار جاوا اسکریپت از چارچوب ScanBox را به هدف تحویل دهد. این مؤلفه اولیه می تواند اطلاعات مختلفی را در مورد رایانه قربانی جمع آوری کند - زمان فعلی، زبان مرورگر، نسخه فلش نصب شده، موقعیت جغرافیایی، عرض و ارتفاع صفحه، هر گونه رمزگذاری کاراکتر و موارد دیگر. تمام داده های به دست آمده به سرور فرماندهی و کنترل (C&C, C2C) عملیات منتقل می شود.
C&C پاسخی حاوی دستورالعمل هایی در مورد اینکه کدام افزونه های خراب باید در مرورگر قربانی واکشی و اجرا شوند ارسال می کند. ماژول ها بسته به اهداف دقیق مهاجمان برای انجام وظایف خاص طراحی شده اند. محققان امنیت سایبری چندین افزونه از این قبیل را برای keylogging، انگشت نگاری مرورگر، اتصال همتا، افزونه ای که ابزارهای امنیتی خاص و ضد بدافزار را بررسی می کند و افزونه ای که می تواند افزونه های مرورگر نصب شده قانونی را شناسایی کند، شناسایی کرده اند.