水坑攻击推送 ScanBox 键盘记录器

研究人员发现了可能由 APT TA423 发起的水坑攻击，该攻击试图植入基于 JavaScript 的 ScanBox 侦察工具。

一家中国威胁行为者已加大力度向受害者分发 ScanBox 侦察框架，其中包括澳大利亚国内组织和南中国海的海上能源公司。高级威胁组织 (APT) 使用的诱饵是有针对性的消息，据称这些消息链接回澳大利亚新闻网站。

根据Proofpoint 威胁研究团队和普华永道威胁情报团队周二发布的报告，网络间谍活动据信于 2022 年 4 月至 2022 年 6 月中旬发起。

研究人员称，威胁者据信是位于中国的 APT TA423，也称为 Red Ladon。报告称，“Proofpoint 有中等信心地评估，这一活动可能是由威胁组织 TA423 / Red Ladon 所为， 多份 报告 评估 该组织在中国海南岛开展活动。”

APT 最近因一份起诉书而闻名。研究人员表示：“美国司法部 2021 年的一份起诉书评估称，TA423 / Red Ladon 为海南省国家安全部 (MSS) 提供了长期支持。”

MSS 是中华人民共和国的民事情报、安全和网络警察机构。据信它负责反情报、外国情报、政治安全，并与中国的工业和网络间谍活动有关。

清除 ScanBox 上的灰尘
该活动利用了 ScanBox 框架。ScanBox 是一个可定制的、基于 Javascript 的多功能框架，对手可以使用它来进行秘密侦察。

ScanBox 已被对手使用近十年，值得注意的是，犯罪分子可以使用该工具进行反情报，而无需在目标系统上植入恶意软件。

普华永道研究人员在提到之前的一次攻击活动时表示：“ScanBox 特别危险，因为它不需要将恶意软件成功部署到磁盘上即可窃取信息 - 键盘记录功能只需要 Web 浏览器执行 JavaScript 代码即可” 。

攻击者可以将 ScanBox 与水坑攻击结合使用来代替恶意软件。攻击者将恶意 JavaScript 加载到受感染的网站上，其中 ScanBox 充当键盘记录器，捕获用户在受感染的水坑网站上的所有输入活动。

TA423 的攻击始于钓鱼邮件，标题为“病假”、“用户研究”和“请求合作”。通常，这些电子邮件声称来自虚构组织“澳大利亚晨报”的员工。该员工恳求目标访问他们的“简陋新闻网站”australianmorningnews[.]com。

研究人员写道：“点击链接并重定向到该网站后，访问者就会使用 ScanBox 框架。”

该链接将目标定向到一个网页，该网页的内容是从实际新闻网站（例如 BBC 和天空新闻）复制的。在此过程中，它还提供了 ScanBox 恶意软件框架。

从水坑中收集的 ScanBox 键盘记录器数据是多阶段攻击的一部分，使攻击者能够深入了解潜在目标，从而帮助他们在未来发起针对这些目标的攻击。这种技术通常称为浏览器指纹识别。

主要的初始脚本获取有关目标计算机的信息列表，包括操作系统、语言和安装的 Adob​​e Flash 版本。ScanBox 还会检查浏览器扩展、插件和 WebRTC 等组件。

“该模块实现了 WebRTC，这是一种受所有主要浏览器支持的免费开源技术，它允许 Web 浏览器和移动应用程序通过应用程序编程接口 (API) 执行实时通信 (RTC)。这使得 ScanBox 能够连接到一组预先配置的目标，”研究人员解释道。

然后，攻击者可以利用一种称为 STUN（NAT 会话遍历实用程序）的技术。研究人员解释说，这是一组标准化方法，包括网络协议，允许交互式通信（包括实时语音、视频和消息应用程序）穿越网络地址转换器（NAT）网关。

“WebRTC 协议支持 STUN。通过位于 Internet 上的第三方 STUN 服务器，它允许主机发现 NAT 的存在，并发现 NAT 为应用程序的用户数据报协议 (UDP) 流分配到远程的映射 IP 地址和端口号主机。ScanBox 使用 STUN 服务器实现 NAT 穿越，作为交互式连接建立(ICE) 的一部分，这是一种点对点通信方法，用于客户端尽可能直接地通信，避免通过 NAT、防火墙或其他解决方案进行通信。”给研究人员。

“这意味着 ScanBox 模块可以建立与 STUN 服务器的 ICE 通信，并与受害计算机进行通信，即使它们位于 NAT 之后，”他们解释道。

威胁行为者
Proofpoint 威胁研究和检测副总裁谢罗德·德格里波 (Sherrod DeGrippo) 在一份声明中解释说，威胁行为者“在与南海有关的事务上支持中国政府，包括在台湾最近的紧张局势期间”，“该组织特别希望了解谁在该地区活跃，虽然我们不能肯定地说，但他们对海军问题的关注可能仍然是马来西亚、新加坡、台湾和澳大利亚等地的优先事项。”

过去，该集团的业务已远远扩展到澳大利亚以外的地区。根据 2021 年 7 月司法部的起诉书，该组织从“美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南苏丹”的受害者那里“窃取了商业秘密和机密商业信息”。非洲、瑞士和英国。目标行业包括航空、国防、教育、政府、医疗保健、生物制药和海事等。”

尽管受到美国司法部的起诉，分析人士“没有观察到 TA423 的行动节奏明显受到干扰”，他们“集体预计 TA423 / Red Ladon 将继续执行其情报收集和间谍任务。”