ScanBox Malware
ScanBox Malware je prijetnja koju kibernetički kriminalci mogu koristiti za izvođenje brojnih, nametljivih radnji na oštećenim uređajima. Prijetnja se uglavnom povezuje s aktivnostima hakerskih organizacija koje podržava Kina. Neki od značajnijih aktera prijetnji koji su postavili okvire ScanBox kao dio svojih napadačkih kampanja uključuju APT10 (Crveni Apolon, Kamena panda), APT27 (Izaslanik Panda, Sretni miš, Crveni feniks) i TA413 (Sretna mačka). Prema izvješću istraživača kibernetičke sigurnosti, ScanBox je nedavno bio ključna komponenta niza phishing napada koje provodi APT40. Ova kibernetička kriminalna skupina poznata je i kao TA423, Red Ladon i Leviathan.
Napadi su prvenstveno bili usmjereni na australske vladine agencije, australske novinske i medijske tvrtke, kao i međunarodne proizvođače teške industrije koji posluju u Južnom kineskom moru. APT40 ima utvrđeni obrazac ciljanja entiteta u azijsko-pacifičkoj regiji i, točnije, u Južnom kineskom moru. Još 2021. američka vlada izjavila je da postoje dokazi da je ova skupina APT (Advanced Persistent Threat) povezana s Ministarstvom državne sigurnosti Kine.
Detalji napada
Napadi ScanBoxa počinju širenjem phishing e-poruka koje sadrže URL koji vodi do domene koju kontroliraju hakeri. Cyberkriminalci bi se pretvarali da su zaposlenici izmišljene australske medijske izdavačke tvrtke pod nazivom 'Australian Morning News.' Zamolili bi mete da podijele istraživački sadržaj koji će objaviti lažna tvrtka ili da pogledaju njezinu web stranicu slijedeći ponuđenu URL vezu.
Odredišna stranica web-mjesta dizajnirana je za isporuku JavaScript korisnog opterećenja okvira ScanBox do cilja. Ova početna komponenta može prikupiti različite informacije o računalu žrtve - trenutno vrijeme, jezik preglednika, instaliranu verziju Flasha, geolokaciju, širinu i visinu zaslona, bilo koje kodiranje znakova i više. Svi dobiveni podaci prenose se na Command-and-Control (C&C, C2C) poslužitelj operacije.
C&C će poslati odgovor koji sadrži upute o tome koji se oštećeni dodaci trebaju dohvatiti i izvršiti u žrtvinom pregledniku. Moduli su dizajnirani za obavljanje specifičnih zadataka, ovisno o točnim ciljevima napadača. Istraživači kibernetičke sigurnosti identificirali su više takvih dodataka za keylogging, otisak prsta preglednika, peer vezu, dodatak koji provjerava specifične sigurnosne i anti-malware alate i dodatak koji može identificirati legitimno instalirane dodatke preglednika.
