स्कैनबॉक्स मैलवेयर
स्कैनबॉक्स मालवेयर एक ऐसा खतरा है जिसका उपयोग साइबर अपराधियों द्वारा उल्लंघन किए गए उपकरणों पर कई, घुसपैठ की कार्रवाई करने के लिए किया जा सकता है। यह खतरा ज्यादातर चीनी समर्थित हैकिंग संगठनों की गतिविधियों से जुड़ा है। अपने हमले अभियानों के हिस्से के रूप में स्कैनबॉक्स ढांचे को तैनात करने वाले कुछ अधिक उल्लेखनीय खतरे वाले अभिनेताओं में एपीटी 10 (रेड अपोलो, स्टोन पांडा), एपीटी 27 ( एमिसरी पांडा, लकी माउस, रेड फीनिक्स) और टीए 413 (लकी कैट) शामिल हैं। साइबर सुरक्षा शोधकर्ताओं की एक रिपोर्ट के अनुसार, स्कैनबॉक्स हाल ही में APT40 द्वारा किए गए फ़िशिंग हमलों की एक श्रृंखला का एक महत्वपूर्ण घटक रहा है। इस साइबर क्रिमिनल ग्रुप को TA423, रेड लाडन और लेविथान के नाम से भी जाना जाता है।
हमले मुख्य रूप से ऑस्ट्रेलियाई सरकारी एजेंसियों, ऑस्ट्रेलियाई समाचार और मीडिया कंपनियों के साथ-साथ दक्षिण चीन सागर में सक्रिय अंतरराष्ट्रीय भारी उद्योग निर्माताओं पर केंद्रित थे। APT40 में एशिया-प्रशांत क्षेत्र और विशेष रूप से दक्षिण चीन सागर में संस्थाओं को लक्षित करने का एक स्थापित पैटर्न है। 2021 में वापस, अमेरिकी सरकार ने कहा कि इस बात के सबूत हैं कि इस विशेष APT (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह का चीन के राज्य सुरक्षा मंत्रालय से संबंध है।
हमले का विवरण
स्कैनबॉक्स के हमले फ़िशिंग ईमेल के प्रसार के साथ शुरू होते हैं जिसमें एक URL होता है जो हैकर्स द्वारा नियंत्रित डोमेन पर ले जाता है। साइबर अपराधी यह दिखावा करेंगे कि वे 'ऑस्ट्रेलियन मॉर्निंग न्यूज़' नाम की एक गढ़ी हुई ऑस्ट्रेलियाई मीडिया प्रकाशन कंपनी के कर्मचारी हैं। वे लक्ष्य को नकली कंपनी द्वारा प्रकाशित की जाने वाली शोध सामग्री साझा करने या दिए गए URL लिंक का अनुसरण करके उसकी वेबसाइट देखने के लिए कहेंगे।
वेबसाइट के लैंडिंग पृष्ठ को स्कैनबॉक्स ढांचे के जावास्क्रिप्ट पेलोड को लक्ष्य तक पहुंचाने के लिए डिज़ाइन किया गया है। यह प्रारंभिक घटक पीड़ित के कंप्यूटर के बारे में विभिन्न जानकारी एकत्र कर सकता है - वर्तमान समय, ब्राउज़र भाषा, स्थापित फ्लैश संस्करण, भौगोलिक स्थान, स्क्रीन की चौड़ाई और ऊंचाई, कोई भी वर्ण एन्कोडिंग और बहुत कुछ। प्राप्त सभी डेटा ऑपरेशन के कमांड-एंड-कंट्रोल (सी एंड सी, सी 2 सी) सर्वर को प्रेषित किया जाता है।
सी एंड सी एक प्रतिक्रिया भेजेगा जिसमें निर्देश होंगे कि पीड़ित के ब्राउज़र में कौन से दूषित प्लगइन्स लाए और निष्पादित किए जाने चाहिए। हमलावरों के सटीक लक्ष्यों के आधार पर मॉड्यूल विशिष्ट कार्यों को करने के लिए डिज़ाइन किए गए हैं। साइबर सुरक्षा शोधकर्ताओं ने कीलॉगिंग, ब्राउज़र फ़िंगरप्रिंटिंग, पीयर कनेक्शन, एक प्लगइन जो विशिष्ट सुरक्षा और एंटी-मैलवेयर टूल की जांच करता है, और एक प्लगइन जो वैध रूप से स्थापित ब्राउज़र प्लगइन्स की पहचान कर सकता है, के लिए ऐसे कई प्लगइन्स की पहचान की है।
