스캔박스 악성코드

ScanBox Malware는 사이버 범죄자가 침해된 장치에서 수많은 침입 작업을 수행하는 데 사용할 수 있는 위협입니다. 위협은 주로 중국이 지원하는 해킹 조직의 활동과 관련이 있습니다. 공격 캠페인의 일부로 ScanBox 프레임워크를 배포한 주목할만한 위협 행위자는 APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) 및 TA413(Lucky Cat)입니다. 사이버 보안 연구원의 보고서에 따르면 ScanBox는 최근 APT40이 수행한 일련의 피싱 공격의 중요한 구성 요소였습니다. 이 사이버 범죄 그룹은 TA423, Red Ladon 및 Leviathan으로도 알려져 있습니다.

공격은 주로 호주 정부 기관, 호주 뉴스 및 미디어 회사, 남중국해에서 활동하는 국제 중공업 제조업체에 집중되었습니다. APT40은 아시아 태평양 지역, 특히 남중국해에서 엔티티를 표적으로 삼는 패턴을 가지고 있습니다. 2021년에 미국 정부는 이 특정 APT(Advanced Persistent Threat) 그룹이 중국 국가 안보부와 관련이 있다는 증거가 있다고 밝혔습니다.

공격 세부 정보

ScanBox 공격은 해커가 제어하는 도메인으로 연결되는 URL이 포함된 피싱 이메일의 유포로 시작됩니다. 사이버 범죄자들은 'Australian Morning News'라는 이름의 조작된 호주 언론사 직원인 척합니다. 그들은 표적에게 가짜 회사가 게시할 연구 콘텐츠를 공유하거나 제공된 URL 링크를 따라 웹사이트를 보도록 요청합니다.

웹 사이트의 랜딩 페이지는 ScanBox 프레임워크의 JavaScript 페이로드를 대상에 전달하도록 설계되었습니다. 이 초기 구성 요소는 현재 시간, 브라우저 언어, 설치된 Flash 버전, 지리적 위치, 화면의 너비와 높이, 모든 문자 인코딩 등 피해자의 컴퓨터에 대한 다양한 정보를 수집할 수 있습니다. 획득한 모든 데이터는 작업의 Command-and-Control(C&C, C2C) 서버로 전송됩니다.

C&C는 손상된 플러그인을 가져와 피해자의 브라우저에서 실행해야 하는 지침이 포함된 응답을 보냅니다. 모듈은 공격자의 정확한 목표에 따라 특정 작업을 수행하도록 설계되었습니다. 사이버 보안 연구원들은 키로깅, 브라우저 지문, 피어 연결, 특정 보안 및 맬웨어 방지 도구를 확인하는 플러그인, 합법적으로 설치된 브라우저 플러그인을 식별할 수 있는 플러그인을 위한 여러 플러그인을 식별했습니다.