תוכנות זדוניות של ScanBox

ScanBox Malware הוא איום שיכול לשמש פושעי סייבר לביצוע פעולות פולשניות רבות במכשירים שנפרצו. האיום קשור בעיקר לפעילויות של ארגוני פריצה בגיבוי סיני. כמה משחקני האיומים הבולטים יותר שפרסו את מסגרות ה-ScanBox כחלק ממסעות התקיפה שלהם כוללים את APT10 (Red Apollo, Stone Panda), APT27 (שליח פנדה, Lucky Mouse, Red Phoenix) ו-TA413 (Lucky Cat). על פי דו"ח של חוקרי אבטחת סייבר, ScanBox היה לאחרונה מרכיב מכריע בסדרת התקפות דיוג שבוצעו על ידי APT40. קבוצת פושעי סייבר זו ידועה גם בשם TA423, Red Ladon ו-Leviathan.

ההתקפות התמקדו בעיקר בסוכנויות ממשלתיות אוסטרליות, חברות חדשות ומדיה אוסטרליות, כמו גם יצרניות תעשייה כבדה בינלאומיות הפועלות בים סין הדרומי. ל-APT40 יש דפוס מבוסס של מיקוד לישויות באזור אסיה-פסיפיק, וליתר דיוק, בים סין הדרומי. עוד בשנת 2021, ממשלת ארה"ב הצהירה כי יש ראיות לכך שלקבוצת APT (Advanced Persistent Threat) הספציפית הזו יש קשרים עם המשרד לביטחון המדינה של סין.

פרטי התקיפה

התקפות ה-ScanBox מתחילות בהפצת מיילים דיוג המכילים כתובת URL המובילה לתחום הנשלט על ידי האקרים. פושעי סייבר היו מעמידים פנים שהם עובדים של חברת פרסום אוסטרלית לפרסום תקשורתי בשם 'אוסטרליאן מורנינג ניוז'. הם יבקשו מהמטרות לשתף תוכן מחקר שיפורסם על ידי החברה המזויפת או להציג את האתר שלה על ידי לחיצה על קישור כתובת URL מסופק.

דף הנחיתה של האתר נועד לספק מטען JavaScript של מסגרת ScanBox אל היעד. רכיב ראשוני זה יכול לאסוף מידע מגוון על המחשב של הנפגע – שעה נוכחית, שפת הדפדפן, גרסת הפלאש המותקנת, מיקום גיאוגרפי, רוחב וגובה המסך, כל קידוד תו ועוד. כל הנתונים שהושגו מועברים לשרת ה-Command-and-Control (C&C, C2C) של הפעולה.

ה-C&C ישלח תגובה המכילה הוראות לגבי אילו פלאגינים פגומים יש להביא ולהפעיל בדפדפן של הקורבן. המודולים נועדו לבצע משימות ספציפיות, בהתאם למטרות המדויקות של התוקפים. חוקרי אבטחת הסייבר זיהו מספר תוספים כאלה עבור רישום מפתחות, טביעת אצבע בדפדפן, חיבור עמיתים, תוסף שבודק כלים ספציפיים לאבטחה ואנטי תוכנות זדוניות, ותוסף שיכול לזהות את התוספים לדפדפן המותקנים באופן חוקי.