بدافزار ScanBox

بدافزار ScanBox تهدیدی است که می‌تواند توسط مجرمان سایبری برای انجام اقدامات متعدد و مزاحم بر روی دستگاه‌های نفوذ شده مورد استفاده قرار گیرد. این تهدید بیشتر با فعالیت‌های سازمان‌های هکری مورد حمایت چین مرتبط است. برخی از مهم‌ترین بازیگران تهدید که چارچوب‌های ScanBox را به عنوان بخشی از کمپین‌های حمله خود به کار گرفته‌اند عبارتند از APT10 (Red Apollo، Stone Panda)، APT27 (Emissary Panda، Lucky Mouse، Red Phoenix) و TA413 (گربه خوش شانس). طبق گزارش محققان امنیت سایبری، ScanBox اخیراً جزء مهمی از یک سری حملات فیشینگ انجام شده توسط APT40 بوده است. این گروه مجرم سایبری با نام های TA423، Red Ladon و Leviathan نیز شناخته می شود.

این حملات عمدتاً بر آژانس‌های دولتی استرالیا، شرکت‌های خبری و رسانه‌ای استرالیا و همچنین تولیدکنندگان صنایع سنگین بین‌المللی که در دریای چین جنوبی فعالیت می‌کنند، متمرکز بود. APT40 یک الگوی ثابت برای هدف قرار دادن نهادها در منطقه آسیا-اقیانوسیه و به طور خاص، دریای چین جنوبی دارد. در سال 2021، دولت ایالات متحده اعلام کرد که شواهدی وجود دارد که نشان می دهد این گروه خاص APT (تهدید پایدار پیشرفته) با وزارت امنیت دولتی چین ارتباط دارد.

جزئیات حمله

حملات ScanBox با انتشار ایمیل‌های فیشینگ حاوی URL منتهی به دامنه‌ای که توسط هکرها کنترل می‌شود آغاز می‌شود. مجرمان سایبری وانمود می کنند که کارمند یک شرکت انتشارات رسانه ای ساختگی استرالیا به نام «اخبار صبح استرالیا» هستند. آنها از اهداف می خواهند محتوای تحقیقاتی را به اشتراک بگذارند تا توسط شرکت جعلی منتشر شود یا وب سایت آن را با دنبال کردن یک پیوند URL ارائه شده مشاهده کنند.

صفحه فرود وب سایت به گونه ای طراحی شده است که یک بار جاوا اسکریپت از چارچوب ScanBox را به هدف تحویل دهد. این مؤلفه اولیه می تواند اطلاعات مختلفی را در مورد رایانه قربانی جمع آوری کند - زمان فعلی، زبان مرورگر، نسخه فلش نصب شده، موقعیت جغرافیایی، عرض و ارتفاع صفحه، هر گونه رمزگذاری کاراکتر و موارد دیگر. تمام داده های به دست آمده به سرور فرماندهی و کنترل (C&C, C2C) عملیات منتقل می شود.

C&C پاسخی حاوی دستورالعمل هایی در مورد اینکه کدام افزونه های خراب باید در مرورگر قربانی واکشی و اجرا شوند ارسال می کند. ماژول ها بسته به اهداف دقیق مهاجمان برای انجام وظایف خاص طراحی شده اند. محققان امنیت سایبری چندین افزونه از این قبیل را برای keylogging، انگشت نگاری مرورگر، اتصال همتا، افزونه ای که ابزارهای امنیتی خاص و ضد بدافزار را بررسی می کند و افزونه ای که می تواند افزونه های مرورگر نصب شده قانونی را شناسایی کند، شناسایی کرده اند.