ScanBox Malware
Ang ScanBox Malware ay isang banta na maaaring gamitin ng mga cybercriminal upang magsagawa ng marami, mapanghimasok na pagkilos sa mga nilabag na device. Ang banta ay kadalasang nauugnay sa mga aktibidad ng mga organisasyon sa pag-hack na suportado ng China. Ang ilan sa mga mas kilalang banta na aktor na nag-deploy ng ScanBox frameworks bilang bahagi ng kanilang mga kampanya sa pag-atake ay kinabibilangan ng APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix), at TA413 (Lucky Cat). Ayon sa isang ulat ng mga mananaliksik sa cybersecurity, ang ScanBox ay kamakailan lamang ay isang mahalagang bahagi ng isang serye ng mga pag-atake sa phishing na isinagawa ng APT40. Ang cybercriminal group na ito ay kilala rin bilang TA423, Red Ladon at Leviathan.
Ang mga pag-atake ay pangunahing nakatuon sa mga ahensya ng Pamahalaan ng Australia, mga kumpanya ng balita at media sa Australia, pati na rin ang mga internasyonal na tagagawa ng mabibigat na industriya na tumatakbo sa South China Sea. Ang APT40 ay may itinatag na pattern ng pag-target sa mga entity sa rehiyon ng Asia-Pacific at, mas partikular, ang South China Sea. Noong 2021, sinabi ng gobyerno ng US na may ebidensya na ang partikular na grupong APT (Advanced Persistent Threat) na ito ay may kaugnayan sa Ministry of State Security ng China.
Mga Detalye ng Pag-atake
Ang mga pag-atake sa ScanBox ay nagsisimula sa pagpapakalat ng mga email sa phishing na naglalaman ng URL na humahantong sa isang domain na kinokontrol ng mga hacker. Ang mga cybercriminal ay magpapanggap na sila ay isang empleyado ng isang gawa-gawang kumpanya ng publikasyong media sa Australia na pinangalanang 'Australian Morning News.' Hihilingin nila sa mga target na magbahagi ng content ng pananaliksik na ilalathala ng pekeng kumpanya o tingnan ang website nito sa pamamagitan ng pagsunod sa ibinigay na link ng URL.
Ang landing page ng website ay idinisenyo upang maghatid ng JavaScript payload ng ScanBox framework sa target. Ang paunang bahagi na ito ay maaaring mangolekta ng iba't ibang impormasyon tungkol sa computer ng biktima - kasalukuyang oras, wika ng browser, ang naka-install na bersyon ng Flash, geolocation, ang lapad at taas ng screen, anumang pag-encode ng character at higit pa. Ang lahat ng nakuhang data ay ipinapadala sa Command-and-Control (C&C, C2C) server ng operasyon.
Magpapadala ang C&C ng tugon na naglalaman ng mga tagubilin tungkol sa kung aling mga sirang plugin ang dapat kunin at isagawa sa browser ng biktima. Ang mga module ay idinisenyo upang magsagawa ng mga partikular na gawain, depende sa eksaktong layunin ng mga umaatake. Natukoy ng mga mananaliksik sa cybersecurity ang maraming tulad ng mga plugin para sa keylogging, fingerprinting ng browser, koneksyon ng peer, isang plugin na sumusuri para sa mga partikular na tool sa seguridad at anti-malware, at isang plugin na maaaring makilala ang mga lehitimong naka-install na plugin ng browser.
