ScanBox マルウェア

Proofpoint のセキュリティ研究者は、中国の脅威アクターによって行われた長期にわたるスパイ活動に関する調査結果を公開しました。このグループは、ScanBox と呼ばれる悪意のあるツールを使用していました。

ScanBox キャンペーンの背後にいる攻撃者は、アジア、ヨーロッパ、オーストラリアの組織を標的とし、被害者には政府機関、報道機関、産業企業が含まれます。研究者は、APT40 および Leviathan という別名で知られる攻撃者によって攻撃が行われたと考えています。

ScanBox マルウェアは、病気休暇の通知や協力依頼を装った悪意のある電子メールを使用して配布されました。悪意のある攻撃者は、「オーストラリアのモーニング ニュース」と呼ばれる偽のメディア会社に属する、攻撃で使用されたドメインを所有および運用していました。電子メールには、被害者が公開用のコンテンツを共有できるというふりをして、ハッカーが管理する Web サイトへのリンクが含まれている場合がありました。

ScanBox は JavaScript を使用し、さらに悪意のあるペイロードを配信する可能性があります。マルウェアはまた、被害者のブラウザ内にプラグインをロードし、キーストロークのログ、侵害されたシステム間の通信、およびインストールされているウイルス対策ソフトウェアのチェックを可能にします。

その後の ScanBox を使用した攻撃は、多段階の感染チェーンを引き起こし、最終的に ScanBox ペイロードを配信する悪意のあるオフィス ドキュメントに依存していました。