Skadelig programvare for ScanBox
Sikkerhetsforskere med Proofpoint publiserte funnene sine om en lang spionasjekampanje utført av en kinesisk trusselaktør. Gruppen brukte et ondsinnet verktøy kalt ScanBox.
Trusselaktøren bak ScanBox-kampanjen rettet mot enheter i Asia, Europa og Australia, og ofrene inkluderer offentlige enheter, medier og industribedrifter. Forskere mener at angrepet ble utført av trusselaktøren kjent under aliasene APT40 og Leviathan.
Skadevaren ScanBox ble distribuert ved hjelp av ondsinnede e-poster som utgir seg som sykemeldinger eller forespørsler om samarbeid. De ondsinnede aktørene eide og drev domenet som ble brukt i angrepene, som tilhørte et falskt medieselskap kalt "Australian Morning News". E-postene vil noen ganger inneholde en lenke til det hackerkontrollerte nettstedet under påskudd av at ofrene kunne dele innhold for publisering.
ScanBox bruker JavaScript og kan levere ytterligere skadelige nyttelaster. Skadevaren laster også inn plugins i offerets nettleser som tillater tastetrykklogging, kommunikasjon mellom kompromitterte systemer og sjekking etter installert antivirusprogramvare.
Senere angrep med ScanBox var avhengig av ondsinnede kontordokumenter som ville utløse en flertrinns infeksjonskjede, og til slutt levere ScanBox-nyttelasten.
