ScanBox-Malware
ScanBox-Malware ist eine Bedrohung, die von Cyberkriminellen verwendet werden kann, um zahlreiche aufdringliche Aktionen auf angegriffenen Geräten auszuführen. Die Bedrohung wird hauptsächlich mit den Aktivitäten von von China unterstützten Hacking-Organisationen in Verbindung gebracht. Einige der bemerkenswerteren Bedrohungsakteure, die die ScanBox-Frameworks als Teil ihrer Angriffskampagnen eingesetzt haben, sind APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) und TA413 (Lucky Cat). Laut einem Bericht von Cybersicherheitsforschern war ScanBox in jüngerer Zeit eine entscheidende Komponente einer Reihe von Phishing-Angriffen, die von APT40 durchgeführt wurden. Diese cyberkriminelle Gruppe ist auch als TA423, Red Ladon und Leviathan bekannt.
Die Angriffe konzentrierten sich hauptsächlich auf australische Regierungsbehörden, australische Nachrichten- und Medienunternehmen sowie internationale Hersteller der Schwerindustrie, die im Südchinesischen Meer tätig sind. APT40 hat ein etabliertes Muster bei der Ausrichtung auf Unternehmen im asiatisch-pazifischen Raum und insbesondere im Südchinesischen Meer. Bereits im Jahr 2021 erklärte die US-Regierung, dass es Beweise dafür gibt, dass diese spezielle APT-Gruppe (Advanced Persistent Threat) Verbindungen zum chinesischen Ministerium für Staatssicherheit hat.
Angriffsdetails
Die ScanBox-Angriffe beginnen mit der Verbreitung von Phishing-E-Mails, die eine URL enthalten, die zu einer von Hackern kontrollierten Domain führt. Cyberkriminelle würden so tun, als wären sie Angestellte einer gefälschten australischen Medienveröffentlichungsfirma namens „Australian Morning News“. Sie würden die Opfer bitten, Forschungsinhalte zu teilen, die von dem gefälschten Unternehmen veröffentlicht werden sollen, oder seine Website anzuzeigen, indem sie einem bereitgestellten URL-Link folgen.
Die Zielseite der Website ist so konzipiert, dass sie eine JavaScript-Nutzlast des ScanBox-Frameworks an das Ziel liefert. Diese erste Komponente kann verschiedene Informationen über den Computer des Opfers sammeln – aktuelle Uhrzeit, Browsersprache, installierte Flash-Version, Geolokalisierung, Breite und Höhe des Bildschirms, beliebige Zeichenkodierung und mehr. Alle gewonnenen Daten werden an den Command-and-Control (C&C, C2C)-Server der Operation übermittelt.
Das C&C sendet eine Antwort mit Anweisungen darüber, welche beschädigten Plugins abgerufen und im Browser des Opfers ausgeführt werden sollen. Die Module sind so konzipiert, dass sie bestimmte Aufgaben ausführen, abhängig von den genauen Zielen der Angreifer. Die Cybersicherheitsforscher haben mehrere solcher Plugins für Keylogging, Browser-Fingerprinting, Peer-Verbindungen, ein Plugin, das nach bestimmten Sicherheits- und Anti-Malware-Tools sucht, und ein Plugin, das die legitim installierten Browser-Plugins identifizieren kann, identifiziert.
