Вредоносное ПО ScanBox
Исследователи безопасности из Proofpoint опубликовали свои выводы о длительной шпионской кампании, проведенной китайским злоумышленником. Группа использовала вредоносный инструмент под названием ScanBox.
Угроза, стоящая за кампанией ScanBox, нацелена на организации в Азии, Европе и Австралии, а жертвами являются государственные учреждения, средства массовой информации и промышленные предприятия. Исследователи полагают, что атаку провел злоумышленник, известный под псевдонимами APT40 и Leviathan.
Вредоносное ПО ScanBox распространялось с помощью вредоносных электронных писем, выдаваемых за уведомления о больничных листах или запросы о сотрудничестве. Злоумышленники владели и управляли доменом, использованным в атаках, принадлежащим поддельной медиа-компании под названием «Австралийские утренние новости». Электронные письма иногда содержали ссылку на контролируемый хакерами веб-сайт под предлогом того, что жертвы могут делиться контентом для публикации.
ScanBox использует JavaScript и может доставлять дополнительные вредоносные данные. Вредоносная программа также загружает плагины в браузер жертвы, которые позволяют регистрировать нажатия клавиш, обмениваться данными между скомпрометированными системами и проверять наличие установленного антивирусного программного обеспечения.
Более поздние атаки с использованием ScanBox основывались на вредоносных офисных документах, которые запускали многоступенчатую цепочку заражения, в конечном итоге доставляя полезную нагрузку ScanBox.
