ScanBox-malware
ScanBox Malware is een bedreiging die door cybercriminelen kan worden gebruikt om talloze, opdringerige acties uit te voeren op gehackte apparaten. De dreiging wordt meestal geassocieerd met de activiteiten van door China gesteunde hackorganisaties. Enkele van de meer opvallende dreigingsactoren die de ScanBox-frameworks hebben ingezet als onderdeel van hun aanvalscampagnes, zijn APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) en TA413 (Lucky Cat). Volgens een rapport van cybersecurity-onderzoekers is ScanBox recentelijk een cruciaal onderdeel geweest van een reeks phishing-aanvallen die door APT40 zijn uitgevoerd. Deze cybercriminele groep staat ook bekend als TA423, Red Ladon en Leviathan.
De aanvallen waren voornamelijk gericht op Australische overheidsinstanties, Australische nieuws- en mediabedrijven, evenals internationale fabrikanten van zware industrie die actief zijn in de Zuid-Chinese Zee. APT40 heeft een gevestigd patroon van targeting-entiteiten in de regio Azië-Pacific en, meer specifiek, de Zuid-Chinese Zee. In 2021 verklaarde de Amerikaanse regering dat er aanwijzingen zijn dat deze specifieke APT-groep (Advanced Persistent Threat) banden heeft met het ministerie van Staatsveiligheid van China.
Aanvalsdetails
De ScanBox-aanvallen beginnen met de verspreiding van phishing-e-mails met een URL die leidt naar een domein dat wordt beheerd door hackers. Cybercriminelen zouden doen alsof ze een werknemer zijn van een gefabriceerd Australisch media-publicatiebedrijf met de naam 'Australian Morning News'. Ze zouden de doelwitten vragen om onderzoeksinhoud te delen die door het nepbedrijf moet worden gepubliceerd of om zijn website te bekijken door een verstrekte URL-link te volgen.
De bestemmingspagina van de website is ontworpen om een JavaScript-payload van het ScanBox-framework aan het doel te leveren. Dit eerste onderdeel kan verschillende informatie over de computer van het slachtoffer verzamelen - huidige tijd, browsertaal, de geïnstalleerde Flash-versie, geolocatie, de breedte en hoogte van het scherm, eventuele tekencodering en meer. Alle verkregen gegevens worden verzonden naar de Command-and-Control (C&C, C2C)-server van de operatie.
De C&C stuurt een reactie met instructies over welke beschadigde plug-ins moeten worden opgehaald en uitgevoerd in de browser van het slachtoffer. De modules zijn ontworpen om specifieke taken uit te voeren, afhankelijk van de exacte doelen van de aanvallers. De cybersecurity-onderzoekers hebben meerdere van dergelijke plug-ins geïdentificeerd voor keylogging, browservingerafdrukken, peer-verbinding, een plug-in die controleert op specifieke beveiligings- en antimalwaretools en een plug-in die de legitiem geïnstalleerde browserplug-ins kan identificeren.
