ScanBox-haittaohjelma
ScanBox-haittaohjelma on uhka, jota kyberrikolliset voivat käyttää lukuisten tunkeilevien toimien suorittamiseen rikkoutuneilla laitteilla. Uhka liittyy enimmäkseen Kiinan tukemien hakkerointiorganisaatioiden toimintaan. Joitakin merkittävimpiä uhkatoimijoita, jotka ovat ottaneet käyttöön ScanBox-kehykset osana hyökkäyskampanjoitaan, ovat APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) ja TA413 (Lucky Cat). Kyberturvallisuustutkijoiden raportin mukaan ScanBox on viime aikoina ollut keskeinen osa APT40:n suorittamien tietojenkalasteluhyökkäysten sarjaa. Tämä kyberrikollinen ryhmä tunnetaan myös nimellä TA423, Red Ladon ja Leviathan.
Hyökkäykset kohdistuivat pääasiassa Australian valtion virastoihin, australialaisiin uutis- ja mediayhtiöihin sekä Etelä-Kiinan merellä toimiviin kansainvälisiin raskaan teollisuuden valmistajiin. APT40:llä on vakiintunut kohdistamismalli Aasian ja Tyynenmeren alueella ja erityisesti Etelä-Kiinan merellä. Vuonna 2021 Yhdysvaltain hallitus ilmoitti, että on olemassa todisteita siitä, että tällä tietyllä APT-ryhmällä (Advanced Persistent Threat) on siteitä Kiinan valtion turvallisuusministeriöön.
Hyökkäyksen tiedot
ScanBox-hyökkäykset alkavat hakkereiden hallitsemaan verkkotunnukseen johtavan URL-osoitteen sisältävien tietojenkalasteluviestien levittämisellä. Kyberrikolliset teeskentelevät olevansa australialaisen "Australian Morning News" -nimisen mediajulkaisuyhtiön työntekijä. He pyytäisivät kohdetta jakamaan tutkimussisältöä väärennetyn yrityksen julkaisemaan tai katsomaan sen verkkosivustoa noudattamalla annettua URL-linkkiä.
Sivuston aloitussivu on suunniteltu toimittamaan ScanBox-kehyksen JavaScript-hyötykuorma kohteeseen. Tämä alkukomponentti voi kerätä erilaisia tietoja uhrin tietokoneesta - nykyinen aika, selaimen kieli, asennettu Flash-versio, maantieteellinen sijainti, näytön leveys ja korkeus, mikä tahansa merkkikoodaus ja paljon muuta. Kaikki saadut tiedot välitetään operaation Command-and-Control (C&C, C2C) palvelimelle.
C&C lähettää vastauksen, joka sisältää ohjeet siitä, mitkä vioittuneet laajennukset tulee hakea ja suorittaa uhrin selaimessa. Moduulit on suunniteltu suorittamaan tiettyjä tehtäviä hyökkääjien tarkkojen tavoitteiden mukaan. Kyberturvallisuustutkijat ovat tunnistaneet useita tällaisia laajennuksia näppäinlokiin, selaimen sormenjälkien ottamiseen, vertaisyhteyteen, laajennuksen, joka tarkistaa tiettyjä suojaus- ja haittaohjelmien torjuntatyökaluja, sekä laajennuksen, joka voi tunnistaa laillisesti asennetut selainlaajennukset.
