Шкідливе програмне забезпечення ScanBox

Зловмисне програмне забезпечення ScanBox — це загроза, яку можуть використовувати кіберзлочинці для виконання численних інтрузивних дій на зламаних пристроях. Здебільшого загроза пов’язана з діяльністю підтримуваних Китаєм хакерських організацій. Деякі з найбільш помітних загроз, які розгорнули фреймворки ScanBox як частину своїх кампаній атак, включають APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) і TA413 (Lucky Cat). Згідно зі звітом дослідників кібербезпеки, ScanBox останнім часом був ключовим компонентом серії фішингових атак, здійснених APT40. Ця кіберзлочинна група також відома як TA423, Red Ladon і Leviathan.

Атаки були зосереджені в основному на урядових установах Австралії, австралійських новинах і медіа-компаніях, а також на міжнародних виробниках важкої промисловості, що працюють у Південно-Китайському морі. APT40 має усталену схему націлювання на організації в Азіатсько-Тихоокеанському регіоні, а точніше, в Південно-Китайському морі. Ще у 2021 році уряд США заявив, що є докази того, що саме ця група APT (Advanced Persistent Threat) має зв’язки з Міністерством державної безпеки Китаю.

Деталі нападу

Атаки ScanBox починаються з розповсюдження фішингових електронних листів, які містять URL-адресу, що веде на домен, контрольований хакерами. Кіберзлочинці вдають, що вони є працівниками сфабрикованої австралійської медіа-компанії під назвою «Australian Morning News». Вони попросили цільових осіб поділитися дослідницьким матеріалом для публікації фальшивою компанією або переглянути її веб-сайт, перейшовши за наданим URL-посиланням.

Цільова сторінка веб-сайту призначена для доставки корисного навантаження JavaScript фреймворку ScanBox до цільового користувача. Цей початковий компонент може збирати різну інформацію про комп'ютер жертви - поточний час, мову браузера, встановлену версію Flash, геолокацію, ширину і висоту екрану, будь-яке кодування символів і багато іншого. Усі отримані дані передаються на сервер управління (C&C, C2C) операції.

C&C надішле відповідь із інструкціями щодо того, які пошкоджені плагіни слід отримати та виконати у браузері жертви. Модулі призначені для виконання конкретних завдань, залежно від конкретних цілей зловмисників. Дослідники з кібербезпеки виявили кілька таких плагінів для клавіатурного журналу, відбитків пальців браузера, однорангового з’єднання, плагін, який перевіряє наявність певних інструментів безпеки та захисту від зловмисного програмного забезпечення, а також плагін, який може ідентифікувати законно встановлені плагіни браузера.