„ScanBox“ kenkėjiška programa
Saugumo tyrinėtojai su „Proofpoint“ paskelbė savo išvadas apie ilgą šnipinėjimo kampaniją, kurią vykdė Kinijos grėsmių veikėjas. Grupė naudojo kenkėjišką įrankį „ScanBox“.
„ScanBox“ kampanijos grėsmės veikėjas taikėsi į Azijos, Europos ir Australijos subjektus, o aukos buvo vyriausybės subjektai, žiniasklaidos priemonės ir pramonės įmonės. Tyrėjai mano, kad išpuolį surengė grėsmės veikėjas, žinomas slapyvardžiais APT40 ir Leviatanas.
Kenkėjiška „ScanBox“ programa buvo platinama naudojant kenkėjiškus el. laiškus, vaizduojančius pranešimus apie nedarbingumo atostogas ar prašymus bendradarbiauti. Piktybiškiems veikėjams priklausė ir valdė atakų metu naudotą domeną, priklausantį netikrai žiniasklaidos bendrovei „Australian Morning News“. El. laiškuose kartais buvo nuoroda į įsilaužėlių valdomą svetainę, apsimetant, kad aukos gali bendrinti turinį, skirtą paskelbti.
„ScanBox“ naudoja „JavaScript“ ir gali pristatyti kitus kenksmingus krovinius. Kenkėjiška programa taip pat įkelia įskiepius aukos naršyklėje, leidžiančius įrašyti klavišų paspaudimus, palaikyti ryšį tarp pažeistų sistemų ir patikrinti, ar nėra įdiegtos antivirusinės programinės įrangos.
Vėlesnės atakos naudojant „ScanBox“ buvo pagrįstos kenkėjiškais biuro dokumentais, kurie suaktyvintų daugiapakopę infekcijos grandinę ir galiausiai pristatytų „ScanBox“ naudingąją apkrovą.
