Skadelig programvare for ScanBox

ScanBox Malware er en trussel som kan brukes av nettkriminelle til å utføre en rekke, påtrengende handlinger på enheter som brytes. Trusselen er hovedsakelig knyttet til aktivitetene til kinesisk-støttede hackerorganisasjoner. Noen av de mer bemerkelsesverdige trusselaktørene som har distribuert ScanBox-rammeverket som en del av angrepskampanjene deres inkluderer APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) og TA413 (Lucky Cat). I følge en rapport fra cybersikkerhetsforskere har ScanBox nylig vært en avgjørende komponent i en serie phishing-angrep utført av APT40. Denne nettkriminelle gruppen er også kjent som TA423, Red Ladon og Leviathan.

Angrepene var først og fremst fokusert på australske myndigheter, australske nyhets- og medieselskaper, samt internasjonale tungindustriprodusenter som opererer i Sør-Kinahavet. APT40 har et etablert mønster av målretting mot enheter i Asia-Stillehavsregionen og, mer spesifikt, Sør-Kinahavet. Tilbake i 2021 uttalte den amerikanske regjeringen at det er bevis for at denne spesielle APT-gruppen (Advanced Persistent Threat) har bånd til departementet for statssikkerhet i Kina.

Angrepsdetaljer

ScanBox-angrepene begynner med spredning av phishing-e-poster som inneholder en URL som fører til et domene kontrollert av hackere. Nettkriminelle ville late som om de er ansatt i et fabrikkert australsk mediepubliseringsselskap kalt 'Australian Morning News'. De ville be målene om å dele forskningsinnhold som skal publiseres av det falske selskapet eller se nettstedet ved å følge en gitt URL-lenke.

Destinasjonssiden til nettstedet er designet for å levere en JavaScript-nyttelast av ScanBox-rammeverket til målet. Denne første komponenten kan samle ulike opplysninger om datamaskinen til offeret - gjeldende tid, nettleserspråk, installert Flash-versjon, geolokalisering, bredden og høyden på skjermen, eventuell tegnkoding og mer. Alle innhentede data blir overført til kommando-og-kontroll-serveren (C&C, C2C) for operasjonen.

C&C vil sende et svar som inneholder instruksjoner om hvilke ødelagte plugins som skal hentes og kjøres i offerets nettleser. Modulene er designet for å utføre spesifikke oppgaver, avhengig av angripernes eksakte mål. Nettsikkerhetsforskerne har identifisert flere slike plugins for keylogging, nettleserfingeravtrykk, peer-tilkobling, en plugin som sjekker for spesifikke sikkerhets- og anti-malware-verktøy, og en plugin som kan identifisere de lovlig installerte nettleserpluginene.