Вредоносное ПО ScanBox

ScanBox Malware — это угроза, которую киберпреступники могут использовать для выполнения многочисленных интрузивных действий на взломанных устройствах. Угроза в основном связана с деятельностью поддерживаемых Китаем хакерских организаций. Некоторые из наиболее известных участников угроз, которые развернули инфраструктуры ScanBox в рамках своих кампаний по атаке, включают APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) и TA413 (Lucky Cat). Согласно отчету исследователей кибербезопасности, ScanBox совсем недавно стал важным компонентом серии фишинговых атак, проведенных APT40. Эта киберпреступная группировка также известна как TA423, Red Ladon и Leviathan.

Атаки были направлены в первую очередь на правительственные учреждения Австралии, австралийские новостные и медиа-компании, а также на международных производителей тяжелой промышленности, работающих в Южно-Китайском море. APT40 имеет устоявшуюся схему нацеливания на объекты в Азиатско-Тихоокеанском регионе и, в частности, в Южно-Китайском море. Еще в 2021 году правительство США заявило, что есть доказательства того, что именно эта группа APT (Advanced Persistent Threat) имеет связи с Министерством государственной безопасности Китая.

Детали атаки

Атаки ScanBox начинаются с распространения фишинговых писем, содержащих URL-адрес, ведущий на домен, контролируемый хакерами. Киберпреступники будут притворяться, что они сотрудники сфабрикованной австралийской издательской компании под названием «Австралианские утренние новости». Они просили жертв поделиться исследовательским контентом, который будет опубликован фальшивой компанией, или просмотреть ее веб-сайт, перейдя по предоставленной URL-ссылке.

Целевая страница веб-сайта предназначена для доставки полезной нагрузки JavaScript платформы ScanBox к цели. Этот начальный компонент может собирать различную информацию о компьютере жертвы — текущее время, язык браузера, установленную версию Flash, геолокацию, ширину и высоту экрана, любую кодировку символов и прочее. Все полученные данные передаются на командно-контрольный (C&C, C2C) сервер операции.

C&C отправит ответ, содержащий инструкции о том, какие поврежденные плагины следует загрузить и запустить в браузере жертвы. Модули предназначены для выполнения конкретных задач в зависимости от конкретных целей злоумышленников. Исследователи кибербезопасности выявили несколько таких плагинов для кейлогинга, снятия отпечатков пальцев браузера, однорангового соединения, плагин, который проверяет наличие определенных инструментов безопасности и защиты от вредоносных программ, а также плагин, который может идентифицировать законно установленные плагины браузера.