ScanBox rosszindulatú program
A ScanBox Malware egy olyan fenyegetés, amelyet a kiberbűnözők felhasználhatnak számos, tolakodó művelet végrehajtására a feltört eszközökön. A fenyegetés leginkább a kínai támogatású hackerszervezetek tevékenységéhez kapcsolódik. A ScanBox keretrendszert támadási kampányaik részeként bevető figyelemre méltóbb fenyegetések közé tartozik az APT10 (Red Apollo, Stone Panda), az APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) és a TA413 (Lucky Cat). A kiberbiztonsági kutatók jelentése szerint a ScanBox az utóbbi időben az APT40 által végrehajtott adathalász támadások egyik kulcsfontosságú eleme. Ezt a kiberbűnözői csoportot TA423, Red Ladon és Leviathan néven is ismerik.
A támadások elsősorban ausztrál kormányzati szervek, ausztrál hír- és médiavállalatok, valamint a Dél-kínai-tengeren működő nemzetközi nehézipari gyártók ellen irányultak. Az APT40 bevett mintázattal rendelkezik az ázsiai-csendes-óceáni térségben, és pontosabban a Dél-kínai-tengerben. Még 2021-ben az Egyesült Államok kormánya kijelentette, hogy bizonyíték van arra, hogy ez a bizonyos APT (Advanced Persistent Threat) csoport kapcsolatban áll Kína Állambiztonsági Minisztériumával.
A támadás részletei
A ScanBox támadások a hackerek által ellenőrzött domainre vezető URL-t tartalmazó adathalász e-mailek terjesztésével kezdődnek. A kiberbűnözők úgy tesznek, mintha az „Australian Morning News” nevű, koholt ausztrál médiakiadó cég alkalmazottai lennének. Arra kérik a célszemélyeket, hogy osszák meg az álcég által közzéteendő kutatási tartalmakat, vagy tekintsék meg weboldalát egy megadott URL-link követésével.
A webhely nyitóoldala úgy van kialakítva, hogy a ScanBox keretrendszer JavaScript-terhelését eljuttassa a célhoz. Ez a kezdeti komponens különféle információkat gyűjthet az áldozat számítógépéről - az aktuális időről, a böngésző nyelvéről, a telepített Flash verzióról, a földrajzi helyről, a képernyő szélességéről és magasságáról, bármilyen karakterkódolásról és még sok másról. Az összes kapott adat a művelet Command-and-Control (C&C, C2C) szerverére kerül.
A C&C választ küld, amely utasításokat tartalmaz arról, hogy mely sérült beépülő modulokat kell lekérni és végrehajtani az áldozat böngészőjében. A modulokat a támadók pontos céljaitól függően meghatározott feladatok elvégzésére tervezték. A kiberbiztonsági kutatók több ilyen beépülő modult azonosítottak a billentyűnaplózáshoz, a böngésző ujjlenyomat-vételéhez, a peer-kapcsolathoz, egy olyan beépülő modult, amely bizonyos biztonsági és kártevő-elhárító eszközöket ellenőrzi, valamint egy olyan bővítményt, amely képes azonosítani a jogszerűen telepített böngészőbővítményeket.
