Κακόβουλο λογισμικό ScanBox
Οι ερευνητές ασφαλείας της Proofpoint δημοσίευσαν τα ευρήματά τους σχετικά με μια μακρά εκστρατεία κατασκοπείας που διεξήχθη από έναν κινέζο παράγοντα απειλών. Η ομάδα χρησιμοποίησε ένα κακόβουλο εργαλείο που ονομάζεται ScanBox.
Ο παράγοντας απειλής πίσω από την εκστρατεία ScanBox που στόχευε οντότητες στην Ασία, την Ευρώπη και την Αυστραλία και τα θύματα περιλαμβάνουν κυβερνητικές οντότητες, μέσα ενημέρωσης και βιομηχανικές επιχειρήσεις. Οι ερευνητές πιστεύουν ότι η επίθεση διεξήχθη από τον παράγοντα απειλών που είναι γνωστός με τα ψευδώνυμα APT40 και Leviathan.
Το κακόβουλο λογισμικό ScanBox διανεμήθηκε χρησιμοποιώντας κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που παριστάνουν ειδοποιήσεις αναρρωτικής άδειας ή αιτήματα συνεργασίας. Οι κακόβουλοι ηθοποιοί κατείχαν και διαχειρίζονταν τον τομέα που χρησιμοποιήθηκε στις επιθέσεις, που ανήκε σε μια εταιρεία πλαστών μέσων ενημέρωσης που ονομάζεται "Australian Morning News". Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν μερικές φορές έναν σύνδεσμο προς τον ιστότοπο που ελέγχεται από χάκερ με το πρόσχημα ότι τα θύματα μπορούσαν να μοιραστούν περιεχόμενο για δημοσίευση.
Το ScanBox χρησιμοποιεί JavaScript και μπορεί να παραδώσει περαιτέρω κακόβουλα ωφέλιμα φορτία. Το κακόβουλο λογισμικό φορτώνει επίσης πρόσθετα μέσα στο πρόγραμμα περιήγησης του θύματος που επιτρέπουν την καταγραφή πληκτρολόγησης, την επικοινωνία μεταξύ των παραβιασμένων συστημάτων και τον έλεγχο για εγκατεστημένο λογισμικό προστασίας από ιούς.
Οι μεταγενέστερες επιθέσεις που χρησιμοποιούν το ScanBox βασίστηκαν σε κακόβουλα έγγραφα γραφείου που θα πυροδοτούσαν μια αλυσίδα μόλυνσης πολλαπλών σταδίων, παρέχοντας τελικά το ωφέλιμο φορτίο ScanBox.
