„ScanBox“ kenkėjiška programa

„ScanBox“ kenkėjiška programa yra grėsmė, kurią gali panaudoti kibernetiniai nusikaltėliai, norėdami atlikti daugybę įžeidžiančių veiksmų pažeistuose įrenginiuose. Grėsmė dažniausiai siejama su Kinijos remiamų programišių organizacijų veikla. Kai kurie iš žymesnių grėsmių veikėjų, kurie įdiegė „ScanBox“ sistemas vykdydami savo atakų kampanijas, yra APT10 („Red Apollo“, „Stone Panda“), APT27 („Emissary Panda“, „Lucky Mouse“, „Red Phoenix“) ir TA413 („Lucky Cat“). Remiantis kibernetinio saugumo tyrėjų ataskaita, „ScanBox“ pastaruoju metu buvo esminė daugelio APT40 vykdomų sukčiavimo atakų dalis. Ši kibernetinių nusikaltėlių grupė taip pat žinoma kaip TA423, Red Ladon ir Leviathan.

Išpuoliai pirmiausia buvo nukreipti prieš Australijos vyriausybines agentūras, Australijos naujienų ir žiniasklaidos kompanijas, taip pat tarptautinius sunkiosios pramonės gamintojus, veikiančius Pietų Kinijos jūroje. APT40 turi nusistovėjusį taikymo subjektams Azijos ir Ramiojo vandenyno regione ir, konkrečiau, Pietų Kinijos jūroje, modelį. Dar 2021 metais JAV vyriausybė pareiškė, kad yra įrodymų, jog ši konkreti APT (Advanced Persistent Threat) grupė turi ryšių su Kinijos valstybės saugumo ministerija.

Išsami atakos informacija

„ScanBox“ atakos prasideda nuo sukčiavimo el. laiškų, kuriuose yra URL, vedančio į įsilaužėlių valdomą domeną, platinimu. Kibernetiniai nusikaltėliai apsimeta, kad jie yra sufabrikuotos Australijos žiniasklaidos leidinių kompanijos „Australian Morning News“ darbuotojai. Jie paprašytų taikinių dalytis tyrimų turiniu, kurį skelbtų netikra įmonė, arba peržiūrėti jos svetainę spustelėję pateiktą URL nuorodą.

Svetainės nukreipimo puslapis yra sukurtas taip, kad nukreiptų į tikslą „ScanBox“ sistemos „JavaScript“ apkrovą. Šis pradinis komponentas gali rinkti įvairią informaciją apie aukos kompiuterį – dabartinį laiką, naršyklės kalbą, įdiegtą „Flash“ versiją, geografinę vietą, ekrano plotį ir aukštį, bet kokią simbolių kodavimą ir kt. Visi gauti duomenys perduodami į operacijos valdymo ir valdymo (C&C, C2C) serverį.

C&C išsiųs atsakymą su instrukcijomis, kuriuos sugadintus papildinius reikia gauti ir vykdyti aukos naršyklėje. Moduliai skirti atlikti specifines užduotis, priklausomai nuo tikslių užpuolikų tikslų. Kibernetinio saugumo tyrėjai nustatė kelis tokius papildinius, skirtus klavišų registravimui, naršyklės pirštų atspaudų ėmimui, lygiaverčio ryšio ryšiui, papildinį, kuris tikrina, ar nėra konkrečių saugos ir apsaugos nuo kenkėjiškų programų įrankių, ir papildinį, galintį identifikuoti teisėtai įdiegtus naršyklės papildinius.