Κινεζικοί παράγοντες απειλών, που συνδέθηκαν με την ομάδα APT40, χρησιμοποιούν το ScanBox με σκοπό την συλλογή πληροφοριών.
Φορείς απειλών με έδρα την Κίνα στοχεύουν αυστραλιανές κυβερνητικές υπηρεσίες και εγκαταστάσεις ανεμογεννητριών στη Θάλασσα της Νότιας Κίνας κατευθύνοντας επιλεγμένα άτομα σε ένα ψεύτικο website που υποδύεται ένα αυστραλιανό ειδησεογραφικό μέσο.
Τα θύματα προσγειώθηκαν στον ψεύτικο ιστότοπο αφού έλαβαν μηνύματα phishing και έλαβαν ένα κακόβουλο JavaScript payload από το ScanBox framework.
Η εκστρατεία ήταν ενεργή από τον Απρίλιο έως τον Ιούνιο του τρέχοντος έτους και στόχευε άτομα σε τοπικούς και ομοσπονδιακούς κυβερνητικούς φορείς της Αυστραλίας, αυστραλιανούς οργανισμούς μέσων ενημέρωσης και παγκόσμιους κατασκευαστές βαριάς βιομηχανίας που παρέχουν συντήρηση σε ανεμογεννήτριες στη Θάλασσα της Νότιας Κίνας.
Ερευνητές ασφαλείας στην Proofpoint και την PwC (PricewaterhouseCoopers) που παρακολουθούν την εκστρατεία εκτιμούν ότι ο στόχος ήταν η κυβερνοκατασκοπεία. Αποδίδουν τη δραστηριότητα με μέτρια βεβαιότητα σε μια ομάδα με έδρα την Κίνα που παρακολουθείται ως μια ομάδα απειλών με όνομα APT40 (γνωστή και ως TA423, Leviathan, Red Ladon).
Το ScanBox έχει παρατηρηθεί σε πολλαπλές επιθέσεις από τουλάχιστον έξι κινεζικούς παράγοντες απειλών στο παρελθόν και υπάρχουν επαρκή στοιχεία που δείχνουν ότι το toolkit χρησιμοποιείται τουλάχιστον από το 2014.
Δείτε επίσης: Crypto-mining malware παρουσιάζεται σαν Google Translate Desktop app
Μια αναφορά από την Proofpoint σημειώνει ότι τα μηνύματα phishing παραδόθηκαν σε στόχους σε διάφορες χρονικές στιγμές με χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου Gmail και Outlook.
Ο αποστολέας υποδύθηκε έναν υπάλληλο του «Australian Morning News», ενός ψεύτικου μέσου ενημέρωσης και πρόσθεσε μια διεύθυνση URL στον κακόβουλο ιστότοπο. Ο ιστότοπος παρουσίαζε περιεχόμενο που αντιγράφηκε από διάφορες νόμιμες πύλες ειδήσεων.
Οι διευθύνσεις URL περιλάμβαναν επίσης μοναδικές τιμές για κάθε στόχο, λένε οι ερευνητές, αν και οδηγούσαν στην ίδια σελίδα και κακόβουλο payload σε κάθε περίπτωση.
Οι επισκέπτες του ψεύτικου ιστότοπου διανεμήθηκαν με ένα αντίγραφο του ScanBox framework μέσω JavaScript execution και σταδιακής φόρτωσης των modules.
«Το ScanBox malware μπορεί να παραδώσει κώδικα JavaScript σε ένα μόνο μπλοκ ή, όπως συμβαίνει στην καμπάνια του Απριλίου 2022, ως μια modular αρχιτεκτονική που βασίζεται σε plug-ins», εξηγεί η Proofpoint.
Η έκθεση εξηγεί περαιτέρω ότι η παράδοση ολόκληρου του κώδικα μπορεί να είναι προτιμότερη από τους φορείς απειλής. Ωστόσο, με αυτόν τον τρόπο μπορεί να συνέβαιναν crashes και bugs, πράγμα που θα μπορούσε να τραβήξει την προσοχή των ερευνητών, επομένως επιλέχθηκε η επιλεκτική φόρτωση plugin.
Τα modules που είναι διαθέσιμα στο ScanBox framework περιλαμβάνουν:
Δείτε επίσης: FBI: Οι χάκερ εκμεταλλεύονται DeFi bugs για να κλέψουν crypto
- Keylogger: Καταγράφει τα πατήματα πλήκτρων που πραγματοποιούνται μέσα σε ένα iframe ScanBox.
- Browser Plugins: Προσδιορίζει τα εγκατεστημένα plugins του προγράμματος περιήγησης
- Browser Fingerprinting: Προσδιορίζει και αναλύει τις τεχνικές δυνατότητες του προγράμματος περιήγησης του θύματος
- Peer connection: Υλοποιεί το WebRTC σε επικοινωνία σε πραγματικό χρόνο μέσω API
- Έλεγχος ασφαλείας: Ελέγχει εάν τα εργαλεία ασφαλείας Kaspersky είναι εγκατεστημένα στο μηχάνημα του θύματος
Μόλις το framework συναρμολογηθεί στο μηχάνημα του θύματος και φορτωθούν τα επιλεγμένα plugins, αυτό ρυθμίζει τις επικοινωνίες command and control (C2) και αρχίζει να στέλνει profile data του θύματος, τεχνικές λεπτομέρειες και πληροφορίες χρήσιμες για αναγνώριση και κατασκοπεία.
Σε ορισμένες περιπτώσεις που παρατηρήθηκαν τον Ιούνιο του 2022, οι παράγοντες της απειλής στόχευσαν την Αυστραλιανή Ναυτική Άμυνα και εταιρείες γεώτρησης ελαίων, πετρελαίου και βαθέων υδάτων, χρησιμοποιώντας τις υπηρεσίες διαβατηρίου COVID-19 ως δέλεαρ, οι οποίες κατέβασαν ένα DLL stager για να φορτώσουν το Meterpreter.
Με βάση πρόσφατα στοιχεία από τις μεθόδους και τα εργαλεία στόχευσης, η Proofpoint καταλήγει στο συμπέρασμα ότι η εκστρατεία του 2022 είναι η τρίτη φάση της ίδιας αποστολής συλλογής πληροφοριών που εκτελεί το APT40 από τον Μάρτιο του 2021.
Παλιότερα, οι παράγοντες των απειλών υποδύονταν ειδησεογραφικά μέσα όπως το «The Australian» και το «Herald Sun», για να πραγματοποιήσουν RTF Template injection και να φορτώσουν το Meterpreter στα μηχανήματα των θυμάτων. Η χρήση του ScanBox malware σε καμπάνιες APT40 παρατηρήθηκε και το 2018.
Ο παράγοντας της απειλής έχει ιστορικό επιθέσεων αρκετά μεγάλο ώστε να ωθήσει το Υπουργείο Δικαιοσύνης των ΗΠΑ τον Ιούλιο του 2021 να απαγγείλει κατηγορίες σε μέλη του APT40.
Πηγή: bleepingcomputer.com
