ScanBox 惡意軟件

ScanBox 惡意軟件是一種威脅，網絡犯罪分子可以利用它對被破壞的設備執行大量侵入性操作。這種威脅主要與中國支持的黑客組織的活動有關。在攻擊活動中部署了 ScanBox 框架的一些比較著名的威脅參與者包括APT10 （Red Apollo、Stone Panda）、 APT27 （Emissary Panda、Lucky Mouse、Red Phoenix）和 TA413（Lucky Cat）。根據網絡安全研究人員的一份報告，ScanBox 最近成為 APT40 進行的一系列網絡釣魚攻擊的關鍵組成部分。這個網絡犯罪組織也被稱為 TA423、Red Ladon 和 Leviathan。

這些攻擊主要針對澳大利亞政府機構、澳大利亞新聞和媒體公司，以及在南海運營的國際重工業製造商。 APT40 具有針對亞太地區實體的既定模式，更具體地說，是南海。早在 2021 年，美國政府就表示有證據表明這個特定的 APT（高級持續威脅）組織與中國國家安全部有聯繫。

攻擊詳情

ScanBox 攻擊始於傳播包含指向黑客控制域的 URL 的網絡釣魚電子郵件。網絡犯罪分子會假裝他們是一家名為“澳大利亞晨報”的澳大利亞媒體出版公司的員工。他們會要求目標分享由虛假公司發布的研究內容，或通過提供的 URL 鏈接查看其網站。

該網站的登錄頁面旨在將 ScanBox 框架的 JavaScript 有效負載傳遞給目標。這個初始組件可以收集有關受害者計算機的各種信息——當前時間、瀏覽器語言、安裝的 Flash 版本、地理位置、屏幕的寬度和高度、任何字符編碼等等。所有獲得的數據都被傳輸到操作的命令和控制（C&C，C2C）服務器。

C&C 將發送一個響應，其中包含有關應在受害者的瀏覽器中獲取和執行哪些損壞的插件的說明。這些模塊旨在執行特定任務，具體取決於攻擊者的確切目標。網絡安全研究人員已經確定了多個此類插件，用於鍵盤記錄、瀏覽器指紋識別、對等連接、一個檢查特定安全和反惡意軟件工具的插件，以及一個可以識別合法安裝的瀏覽器插件的插件。