ScanBox マルウェア

ScanBox Malware は、サイバー犯罪者が侵害されたデバイスに対して多数の侵入的なアクションを実行するために使用できる脅威です。この脅威は、主に中国が支援するハッキング組織の活動に関連しています。攻撃キャンペーンの一環として ScanBox フレームワークを展開した注目すべき攻撃者には、 APT10 (Red Apollo、Stone Panda)、 APT27 (Emissary Panda、Lucky Mouse、Red Phoenix)、TA413 (Lucky Cat) などがあります。サイバーセキュリティ研究者のレポートによると、最近では、APT40 によって実行された一連のフィッシング攻撃において、ScanBox が重要な要素となっています。このサイバー犯罪グループは、TA423、Red Ladon、および Leviathan としても知られています。

攻撃は、主にオーストラリアの政府機関、オーストラリアのニュースおよびメディア企業、南シナ海で事業を展開する国際的な重工業メーカーに集中していました。 APT40 は、アジア太平洋地域、より具体的には南シナ海のエンティティを標的とする確立されたパターンを持っています。さかのぼって 2021 年に、米国政府は、この特定の APT (Advanced Persistent Threat) グループが中国国家安全部と関係があるという証拠があると述べました。

攻撃の詳細

ScanBox 攻撃は、ハッカーが制御するドメインにつながる URL を含むフィッシング メールの拡散から始まります。サイバー犯罪者は、「オーストラリア モーニング ニュース」という偽造されたオーストラリアのメディア出版会社の従業員であると偽ります。彼らは、偽の会社が公開する研究コンテンツを共有するか、提供された URL リンクをたどってその Web サイトを表示するようにターゲットに依頼します。

Web サイトのランディング ページは、ScanBox フレームワークの JavaScript ペイロードをターゲットに配信するように設計されています。この最初のコンポーネントは、被害者のコンピューターに関するさまざまな情報 (現在の時刻、ブラウザーの言語、インストールされている Flash のバージョン、位置情報、画面の幅と高さ、文字エンコードなど) を収集できます。取得したすべてのデータは、オペレーションのコマンド アンド コントロール (C&C、C2C) サーバーに送信されます。

C&C は、どの破損したプラグインを取得して被害者のブラウザで実行するかについての指示を含む応答を送信します。モジュールは、攻撃者の正確な目標に応じて、特定のタスクを実行するように設計されています。サイバーセキュリティの研究者は、キーロギング、ブラウザのフィンガープリント、ピア接続、特定のセキュリティおよびマルウェア対策ツールをチェックするプラグイン、および合法的にインストールされたブラウザ プラグインを識別できるプラグインなど、複数のプラグインを特定しました。