威胁者目前正在加紧向受害者分发ScanBox侦察框架,其中包括澳大利亚的政府组织。该高级威胁集团(APT)使用的诱饵据称是链接到了澳大利亚新闻网站的目标信息。
根据Proofpoint的威胁研究团队和普华永道的威胁情报团队周二的报告,这些网络间谍活动据信是在2022年4月至2022年6月中旬发起的。
据研究人员称,该威胁攻击据调查是APT TA423发起的,该组织也被称为Red Ladon。根据该报告,Proofpoint评估认为,这一活动可能归因于威胁者TA423/Red Ladon。
该攻击活动利用了ScanBox框架。ScanBox是一个可定制的、基于Javascript的多功能框架,主要是被攻击者用来进行秘密侦查信息。
ScanBox已被攻击者使用了近十年,值得注意的是,攻击者不必在目标系统内植入恶意软件,就可以使用该工具获得情报。
普华永道的研究人员在提到以前的一个活动时说,ScanBox特别危险,因为它不需要将恶意软件部署到磁盘上就能窃取信息,只需要网络浏览器执行JavaScript代码就可以触发键盘记录功能。
为了更好的代替恶意软件,攻击者可以将ScanBox与水坑攻击结合起来使用。攻击者将恶意的JavaScript加载到一个被破坏的网站上,ScanBox可以作为一个键盘记录器,记录用户在被攻击的网站上的所有输入的信息。
TA423的攻击是从钓鱼邮件开始的,标题是 "病假"、"用户研究 "和 "请求合作"。通常情况下,这些电子邮件声称是来自"澳大利亚晨报"的雇员,这其实是一个虚构的组织。该员工希望目标能够访问他们的新闻网站 Australianmorningnews[.com]。
研究人员写道,在点击该链接并重定向到该网站后,访问者就会被ScanBox框架攻击。
该链接会将目标指向一个网页,其中的内容是从真实的新闻网站,如英国广播公司和天空新闻网站复制的。在此过程中,它也会加载ScanBox恶意软件框架。
从水坑攻击中提取到的ScanBox键盘记录器数据只是多个阶段攻击中的一部分,它可以让攻击者更深入了解潜在的目标,这将有助于他们未来对这些目标发动攻击。这种技术通常被称为浏览器指纹识别技术。
最初的脚本功能是关于目标计算机的信息列表,包括操作系统、语言和安装的Adobe Flash版本的信息收集。ScanBox还对浏览器扩展、插件和WebRTC等组件进行了检查。
该模块还实现了WebRTC,这是一项免费的开源技术,所有的主流浏览器都支持,它允许网络浏览器和移动应用程序通过应用程序编程接口(API)进行实时通信(RTC)。研究人员解释说,这使得ScanBox能够连接到预先配置好的一组目标。
然后,攻击者也可以利用一种叫做STUN(用于NAT的会话穿越工具)的技术。研究人员解释说,这是一套标准化的方法,其中包括一个网络协议,该协议允许互动通信(包括实时语音、视频和消息应用)穿越网络地址转换器(NAT)网关。
STUN是由WebRTC协议支持的。通过位于互联网上的第三方STUN服务器,它允许主机发现NAT的存在,并发现NAT为应用程序的用户数据报协议(UDP)流向远程主机分配的映射的IP地址和端口号。研究人员称,ScanBox使用STUN服务器实现了NAT穿透,作为交互式连接建立(ICE)的一部分,这是一种能够使客户端尽可能直接通信的点对点通信方法,避免了必须通过NAT、防火墙或其他解决方案进行通信。
他们解释说,这意味着ScanBox模块可以建立与STUN服务器的ICE通信,并与受害者机器进行通信,即使它们处于NAT后面。
过去,该组织的活动范围已经远远超出了大洋洲。根据司法部2021年7月的一份起诉书,该集团从 "美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国 "的受害者那里窃取商业秘密和机密商业信息。目标行业包括了航空、国防、教育、政府、医疗保健、生物制药和海事。
尽管有司法部的起诉,分析家们也并没有观察到TA423的行动节奏有明显的减缓。
参考及来源:https://threatpost.com/watering-hole-attacks-push-scanbox-keylogger/180490/