ScanBox Malware
ScanBox Malware ialah ancaman yang boleh digunakan oleh penjenayah siber untuk melakukan pelbagai tindakan mengganggu pada peranti yang dilanggar. Ancaman itu kebanyakannya dikaitkan dengan aktiviti organisasi penggodaman yang disokong oleh China. Beberapa pelakon ancaman yang lebih ketara yang telah menggunakan rangka kerja ScanBox sebagai sebahagian daripada kempen serangan mereka termasuk APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) dan TA413 (Lucky Cat). Menurut laporan oleh penyelidik keselamatan siber, ScanBox baru-baru ini menjadi komponen penting dalam siri serangan pancingan data yang dijalankan oleh APT40. Kumpulan penjenayah siber ini juga dikenali sebagai TA423, Red Ladon dan Leviathan.
Serangan itu tertumpu terutamanya kepada agensi Kerajaan Australia, syarikat berita dan media Australia, serta pengeluar industri berat antarabangsa yang beroperasi di Laut China Selatan. APT40 mempunyai corak entiti sasaran yang mantap di rantau Asia-Pasifik dan, lebih khusus lagi, Laut China Selatan. Pada tahun 2021, kerajaan AS menyatakan bahawa terdapat bukti bahawa kumpulan APT (Advanced Persistent Threat) tertentu ini mempunyai hubungan dengan Kementerian Keselamatan Negara China.
Butiran Serangan
Serangan ScanBox bermula dengan penyebaran e-mel pancingan data yang mengandungi URL yang membawa kepada domain yang dikawal oleh penggodam. Penjenayah siber akan berpura-pura bahawa mereka adalah pekerja sebuah syarikat penerbitan media Australia rekaan bernama 'Australian Morning News.' Mereka akan meminta sasaran untuk berkongsi kandungan penyelidikan untuk diterbitkan oleh syarikat palsu atau melihat laman webnya dengan mengikuti pautan URL yang disediakan.
Halaman pendaratan tapak web direka untuk menyampaikan muatan JavaScript rangka kerja ScanBox kepada sasaran. Komponen awal ini boleh mengumpul pelbagai maklumat tentang komputer mangsa - masa semasa, bahasa pelayar, versi Flash yang dipasang, geolokasi, lebar dan ketinggian skrin, sebarang pengekodan aksara dan banyak lagi. Semua data yang diperoleh dihantar ke pelayan Perintah-dan-Kawalan (C&C, C2C) operasi.
C&C akan menghantar respons yang mengandungi arahan tentang pemalam yang rosak yang harus diambil dan dilaksanakan dalam penyemak imbas mangsa. Modul direka untuk melaksanakan tugas tertentu, bergantung pada matlamat sebenar penyerang. Penyelidik keselamatan siber telah mengenal pasti berbilang pemalam sedemikian untuk pengelogan kunci, cap jari penyemak imbas, sambungan rakan sebaya, pemalam yang menyemak alat keselamatan dan anti-perisian hasad tertentu dan pemalam yang boleh mengenal pasti pemalam penyemak imbas yang dipasang secara sah.
