Skadlig programvara för ScanBox

ScanBox Malware är ett hot som kan användas av cyberbrottslingar för att utföra många, påträngande åtgärder på enheter som har brutits. Hotet är mestadels associerat med verksamheten i kinesisk-stödda hackningsorganisationer. Några av de mer anmärkningsvärda hotaktörerna som har distribuerat ScanBox-ramverken som en del av sina attackkampanjer inkluderar APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) och TA413 (Lucky Cat). Enligt en rapport från cybersäkerhetsforskare har ScanBox på senare tid varit en avgörande komponent i en serie nätfiskeattacker utförda av APT40. Denna cyberkriminella grupp är också känd som TA423, Red Ladon och Leviathan.

Attackerna var främst inriktade på australiensiska myndigheter, australiensiska nyhets- och medieföretag, såväl som internationella tungindustritillverkare som är verksamma i Sydkinesiska havet. APT40 har ett etablerat mönster för att rikta in sig på enheter i Asien-Stillahavsområdet och, mer specifikt, Sydkinesiska havet. Redan 2021 uppgav den amerikanska regeringen att det finns bevis för att just denna APT-grupp (Advanced Persistent Threat) har kopplingar till Kinas ministerium för statlig säkerhet.

Attackdetaljer

ScanBox-attackerna börjar med spridning av nätfiske-e-postmeddelanden som innehåller en URL som leder till en domän som kontrolleras av hackare. Cyberbrottslingar skulle låtsas att de är anställd på ett påhittat australiskt mediepubliceringsföretag som heter "Australian Morning News". De skulle be målen att dela forskningsinnehåll som skulle publiceras av det falska företaget eller se dess webbplats genom att följa en tillhandahållen URL-länk.

Webbplatsens målsida är utformad för att leverera en JavaScript-nyttolast av ScanBox-ramverket till målet. Denna initiala komponent kan samla in olika information om offrets dator - aktuell tid, webbläsarspråk, den installerade Flash-versionen, geolokalisering, skärmens bredd och höjd, valfri teckenkodning och mer. Alla erhållna data överförs till kommando-och-kontroll-servern (C&C, C2C) för operationen.

C&C kommer att skicka ett svar som innehåller instruktioner om vilka skadade plugins som ska hämtas och köras i offrets webbläsare. Modulerna är designade för att utföra specifika uppgifter, beroende på angriparnas exakta mål. Cybersäkerhetsforskarna har identifierat flera sådana plugins för tangentloggning, webbläsarfingeravtryck, peer-anslutning, ett plugin som söker efter specifika säkerhets- och anti-malware-verktyg och ett plugin som kan identifiera de legitimt installerade webbläsarplugins.