Zlonamerna programska oprema ScanBox
Zlonamerna programska oprema ScanBox je grožnja, ki jo lahko kibernetski kriminalci uporabijo za izvajanje številnih vsiljivih dejanj na napravah, v katerih je prišlo do vdora. Grožnja je večinoma povezana z dejavnostmi hekerskih organizacij, ki jih podpira Kitajska. Nekateri bolj opazni akterji groženj, ki so uvedli okvire ScanBox kot del svojih napadalnih kampanj, vključujejo APT10 (Rdeči Apolon, Kamnita Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) in TA413 (Lucky Cat). Po poročilu raziskovalcev kibernetske varnosti je bil ScanBox v zadnjem času ključna sestavina serije lažnih napadov, ki jih izvaja APT40. Ta kibernetska kriminalna skupina je znana tudi kot TA423, Red Ladon in Leviathan.
Napadi so bili osredotočeni predvsem na avstralske vladne agencije, avstralska tiskovna in medijska podjetja ter mednarodne proizvajalce težke industrije, ki delujejo v Južnokitajskem morju. APT40 ima ustaljen vzorec ciljanja na subjekte v azijsko-pacifiški regiji in natančneje v Južnokitajskem morju. Leta 2021 je ameriška vlada izjavila, da obstajajo dokazi, da je ta skupina APT (Advanced Persistent Threat) povezana s kitajskim ministrstvom za državno varnost.
Podrobnosti o napadu
Napadi ScanBox se začnejo z razširjanjem lažnih e-poštnih sporočil, ki vsebujejo URL, ki vodi do domene, ki jo nadzorujejo hekerji. Kibernetski kriminalci bi se pretvarjali, da so zaposleni v izmišljenem avstralskem medijskem podjetju z imenom 'Australian Morning News.' Tarče bi prosili, naj delijo raziskovalno vsebino, ki jo objavi lažno podjetje, ali si ogledajo njegovo spletno stran, tako da sledijo navedeni povezavi URL.
Ciljna stran spletnega mesta je zasnovana tako, da ciljnemu uporabniku dostavi obremenitev JavaScript ogrodja ScanBox. Ta začetna komponenta lahko zbira različne informacije o računalniku žrtve - trenutni čas, jezik brskalnika, nameščeno različico Flash, geolokacijo, širino in višino zaslona, poljubno kodiranje znakov in drugo. Vsi pridobljeni podatki se posredujejo v strežnik za vodenje in vodenje (C&C, C2C) operacije.
C&C bo poslal odgovor z navodili o tem, katere poškodovane vtičnike je treba pridobiti in izvesti v brskalniku žrtve. Moduli so zasnovani za izvajanje specifičnih nalog, odvisno od natančnih ciljev napadalcev. Raziskovalci kibernetske varnosti so odkrili več takšnih vtičnikov za beleženje tipkovnice, prstni odtis brskalnika, enakovredno povezavo, vtičnik, ki preverja določena varnostna orodja in orodja za zaščito pred zlonamerno programsko opremo, in vtičnik, ki lahko prepozna zakonito nameščene vtičnike brskalnika.
