Proofpoint 的安全研究人员公布了他们对中国威胁行为者进行的长期间谍活动的调查结果。该组织使用了一个名为 ScanBox 的恶意工具。
ScanBox 活动背后的威胁行为者针对亚洲、欧洲和澳大利亚的实体,受害者包括政府实体、媒体和工业企业。研究人员认为,这次攻击是由别名 APT40 和 Leviathan 的威胁行为者发起的。
ScanBox 恶意软件使用伪装成病假通知或合作请求的恶意电子邮件进行分发。恶意行为者拥有并运营攻击中使用的域名,属于一家名为“澳大利亚晨报”的虚假媒体公司。这些电子邮件有时会包含指向黑客控制网站的链接,借口是受害者可以共享内容以供发布。
ScanBox 使用 JavaScript 并且可以传递更多的恶意负载。该恶意软件还在受害者的浏览器中加载插件,允许记录击键、受感染系统之间的通信以及检查已安装的防病毒软件。
后来使用 ScanBox 的攻击依赖于会触发多阶段感染链的恶意办公文档,最终传递 ScanBox 有效负载。
© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.
Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82,
Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.
Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。
