Proofpoint 的安全研究人員公佈了他們對中國威脅行為者進行的長期間諜活動的調查結果。該組織使用了一個名為 ScanBox 的惡意工具。
ScanBox 活動背後的威脅行為者針對亞洲、歐洲和澳大利亞的實體,受害者包括政府實體、媒體和工業企業。研究人員認為,這次攻擊是由別名 APT40 和 Leviathan 的威脅行為者發起的。
ScanBox 惡意軟件使用偽裝成病假通知或合作請求的惡意電子郵件進行分發。惡意行為者擁有並運營攻擊中使用的域名,屬於一家名為“澳大利亞晨報”的虛假媒體公司。這些電子郵件有時會包含指向黑客控製網站的鏈接,藉口是受害者可以共享內容以供發布。
ScanBox 使用 JavaScript 並且可以傳遞更多的惡意負載。該惡意軟件還在受害者的瀏覽器中加載插件,允許記錄擊鍵、受感染系統之間的通信以及檢查已安裝的防病毒軟件。
後來使用 ScanBox 的攻擊依賴於會觸發多階段感染鏈的惡意辦公文檔,最終傳遞 ScanBox 有效負載。
© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.
Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82,
Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.
Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。
