Złośliwe oprogramowanie ScanBox
ScanBox Malware to zagrożenie, które może być wykorzystywane przez cyberprzestępców do wykonywania licznych, natrętnych działań na zhakowanych urządzeniach. Zagrożenie związane jest głównie z działalnością wspieranych przez Chiny organizacji hakerskich. Niektóre z bardziej znanych cyberprzestępców, którzy wdrożyli frameworki ScanBox w ramach swoich kampanii ataków, to APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) i TA413 (Lucky Cat). Według raportu badaczy cyberbezpieczeństwa, ScanBox był ostatnio kluczowym elementem serii ataków phishingowych przeprowadzonych przez APT40. Ta grupa cyberprzestępcza znana jest również jako TA423, Red Ladon i Lewiatan.
Ataki koncentrowały się przede wszystkim na australijskich agencjach rządowych, australijskich firmach informacyjnych i medialnych, a także na międzynarodowych producentach przemysłu ciężkiego działających na Morzu Południowochińskim. APT40 ma ustalony wzorzec atakowania podmiotów w regionie Azji i Pacyfiku, a dokładniej na Morzu Południowochińskim. W 2021 r. rząd USA stwierdził, że istnieją dowody na to, że ta konkretna grupa APT (Advanced Persistent Threat) ma powiązania z Ministerstwem Bezpieczeństwa Państwowego Chin.
Szczegóły ataku
Ataki ScanBox rozpoczynają się od rozpowszechniania wiadomości phishingowych zawierających adres URL prowadzący do domeny kontrolowanej przez hakerów. Cyberprzestępcy udają, że są pracownikami sfabrykowanej australijskiej firmy wydawniczej o nazwie „Australian Morning News”. Poprosiliby cele, aby udostępniły treści badawcze, które mają zostać opublikowane przez fałszywą firmę, lub przeglądały jej witrynę internetową, klikając podany link URL.
Strona docelowa witryny jest zaprojektowana tak, aby dostarczać do celu ładunek JavaScript frameworku ScanBox. Ten początkowy komponent może zbierać różne informacje o komputerze ofiary - aktualny czas, język przeglądarki, zainstalowaną wersję Flasha, geolokalizację, szerokość i wysokość ekranu, kodowanie znaków i inne. Wszystkie uzyskane dane są przesyłane do serwera Command-and-Control (C&C, C2C) operacji.
Centrum kontroli wyśle odpowiedź zawierającą instrukcje dotyczące tego, które uszkodzone wtyczki powinny zostać pobrane i wykonane w przeglądarce ofiary. Moduły są przeznaczone do wykonywania określonych zadań, w zależności od dokładnych celów atakujących. Badacze cyberbezpieczeństwa zidentyfikowali wiele takich wtyczek do rejestrowania klawiszy, odcisków palców w przeglądarkach, połączenia równorzędnego, wtyczki, która sprawdza określone narzędzia bezpieczeństwa i ochrony przed złośliwym oprogramowaniem oraz wtyczki, która może zidentyfikować legalnie zainstalowane wtyczki przeglądarki.
