ScanBox ļaunprātīga programmatūra
ScanBox ļaunprātīga programmatūra ir drauds, ko kibernoziedznieki var izmantot, lai veiktu daudzas, uzmācīgas darbības uzlauztajās ierīcēs. Draudi galvenokārt saistīti ar Ķīnas atbalstīto hakeru organizāciju aktivitātēm. Daži no ievērojamākajiem apdraudējumiem, kas ir izvietojuši ScanBox sistēmas uzbrukuma kampaņu ietvaros, ir APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) un TA413 (Lucky Cat). Saskaņā ar kiberdrošības pētnieku ziņojumu ScanBox pēdējā laikā ir bijusi būtiska APT40 veikto pikšķerēšanas uzbrukumu sērijas sastāvdaļa. Šī kibernoziedznieku grupa ir pazīstama arī kā TA423, Red Ladon un Leviathan.
Uzbrukumi galvenokārt bija vērsti pret Austrālijas valdības aģentūrām, Austrālijas ziņu un mediju kompānijām, kā arī starptautiskajiem smagās rūpniecības ražotājiem, kas darbojas Dienvidķīnas jūrā. APT40 ir izveidots modelis mērķauditorijas atlasei Āzijas un Klusā okeāna reģionā un, konkrētāk, Dienvidķīnas jūrā. Vēl 2021. gadā ASV valdība paziņoja, ka ir pierādījumi, ka šai konkrētajai APT (Advanced Persistent Threat) grupai ir saites ar Ķīnas Valsts drošības ministriju.
Uzbrukuma detaļas
ScanBox uzbrukumi sākas ar pikšķerēšanas e-pasta ziņojumu izplatīšanu, kas satur URL, kas ved uz domēnu, kuru kontrolē hakeri. Kibernoziedznieki izliksies, ka viņi ir izdomātas Austrālijas mediju publikācijas kompānijas “Australian Morning News” darbinieks. Viņi lūgtu mērķus kopīgot pētījumu saturu, ko publicē viltus uzņēmums, vai skatīt tā vietni, izmantojot norādīto URL saiti.
Vietnes galvenā lapa ir izstrādāta, lai mērķim piegādātu ScanBox ietvara JavaScript slodzi. Šis sākotnējais komponents var apkopot dažādu informāciju par upura datoru - pašreizējo laiku, pārlūkprogrammas valodu, instalēto Flash versiju, ģeogrāfisko atrašanās vietu, ekrāna platumu un augstumu, jebkuru rakstzīmju kodējumu un daudz ko citu. Visi iegūtie dati tiek pārsūtīti uz operācijas Command-and-Control (C&C, C2C) serveri.
C&C nosūtīs atbildi ar norādījumiem par to, kuri bojātie spraudņi ir jāiegūst un jāizpilda cietušā pārlūkprogrammā. Moduļi ir paredzēti konkrētu uzdevumu veikšanai atkarībā no precīziem uzbrucēju mērķiem. Kiberdrošības pētnieki ir identificējuši vairākus šādus spraudņus taustiņu reģistrēšanai, pārlūkprogrammas pirkstu nospiedumu noņemšanai, vienādranga savienojumam, spraudni, kas pārbauda īpašus drošības un ļaunprātīgas programmatūras novēršanas rīkus, un spraudni, kas var identificēt likumīgi instalētos pārlūkprogrammas spraudņus.
