ScanBox 恶意软件

ScanBox 恶意软件是一种威胁，网络犯罪分子可以利用它对被破坏的设备执行大量侵入性操作。这种威胁主要与中国支持的黑客组织的活动有关。在攻击活动中部署了 ScanBox 框架的一些比较著名的威胁参与者包括APT10 （Red Apollo、Stone Panda）、 APT27 （Emissary Panda、Lucky Mouse、Red Phoenix）和 TA413（Lucky Cat）。根据网络安全研究人员的一份报告，ScanBox 最近成为 APT40 进行的一系列网络钓鱼攻击的关键组成部分。这个网络犯罪组织也被称为 TA423、Red Ladon 和 Leviathan。

这些攻击主要针对澳大利亚政府机构、澳大利亚新闻和媒体公司，以及在南海运营的国际重工业制造商。 APT40 具有针对亚太地区实体的既定模式，更具体地说，是南海。早在 2021 年，美国政府就表示有证据表明这个特定的 APT（高级持续威胁）组织与中国国家安全部有联系。

攻击详情

ScanBox 攻击始于传播包含指向黑客控制域的 URL 的网络钓鱼电子邮件。网络犯罪分子会假装他们是一家名为“澳大利亚晨报”的澳大利亚媒体出版公司的员工。他们会要求目标分享由虚假公司发布的研究内容，或通过提供的 URL 链接查看其网站。

该网站的登录页面旨在将 ScanBox 框架的 JavaScript 有效负载传递给目标。这个初始组件可以收集有关受害者计算机的各种信息——当前时间、浏览器语言、安装的 Flash 版本、地理位置、屏幕的宽度和高度、任何字符编码等等。所有获得的数据都被传输到操作的命令和控制（C&C，C2C）服务器。

C&C 将发送一个响应，其中包含有关应在受害者的浏览器中获取和执行哪些损坏的插件的说明。这些模块旨在执行特定任务，具体取决于攻击者的确切目标。网络安全研究人员已经确定了多个此类插件，用于键盘记录、浏览器指纹识别、对等连接、一个检查特定安全和反恶意软件工具的插件，以及一个可以识别合法安装的浏览器插件的插件。