水坑攻击推送ScanBox键盘记录器
研究人员发现一起很可能由APT TA423发起的水坑攻击,该攻击试图植入基于JavaScript的侦察工具ScanBox。
一个来自中国的威胁行为体加大了分发ScanBox侦察框架的力度,其目标包括澳大利亚国内组织以及南海的离岸能源公司。这个高级威胁组织(APT)使用的诱饵是伪装成与澳大利亚新闻网站相关的定向信息。
根据Proofpoint威胁研究团队和PwC威胁情报团队周二发布的报告,这些网络间谍活动被认为始于2022年4月,并持续到2022年6月中旬。
研究人员认为,该威胁行为体是来自中国的APT TA423,也称为Red Ladon。报告指出:“Proofpoint以中等置信度评估,此活动可能归因于威胁行为体TA423 / Red Ladon,多份报告评估其在中国海南岛运作。”
该APT最近因一项起诉而闻名。研究人员表示:“美国司法部2021年的一项起诉评估认为,TA423 / Red Ladon为海南省国家安全部(MSS)提供长期支持。”
MSS是中华人民共和国的民事情报、安全和网络警察机构。据信其负责反情报、对外情报、政治安全,并与中国的工业和网络间谍活动有关。
重拾ScanBox
此次攻击利用了ScanBox框架。ScanBox是一个可定制、多功能的基于JavaScript的框架,攻击者用它来进行隐蔽侦察。
攻击者使用ScanBox已近十年,其值得注意之处在于,犯罪分子可以使用该工具进行反情报活动,而无需在目标系统上植入恶意软件。
PwC研究人员在提及先前的一次攻击时指出:“ScanBox尤其危险,因为它不需要成功将恶意软件部署到磁盘即可窃取信息——其键盘记录功能仅需网络浏览器执行JavaScript代码即可实现。”
攻击者可以不使用恶意软件,而是将ScanBox与水坑攻击结合使用。攻击者将恶意JavaScript加载到被入侵的网站上,ScanBox在该网站上充当键盘记录器,窃取用户在受感染的水坑网站上键入的所有活动。
TA423的攻击始于网络钓鱼邮件,标题诸如“病假”、“用户研究”和“请求合作”等。这些邮件通常伪装来自虚构组织“Australian Morning News”的员工。该员工恳求目标访问其“简陋的新闻网站”australianmorningnews[.]com。
研究人员写道:“点击链接并重定向到该网站后,访问者就会加载ScanBox框架。”
该链接将目标引导至一个网页,其内容复制自BBC和Sky News等真实新闻网站。在此过程中,它也传递了ScanBox恶意软件框架。
从水坑网站收集的ScanBox键盘记录器数据是多阶段攻击的一部分,使攻击者能够洞察潜在目标,从而有助于未来对他们发起攻击。这种技术通常被称为浏览器指纹识别。
初始的主要脚本会获取目标计算机的一系列信息,包括操作系统、语言和已安装的Adobe Flash版本。ScanBox还会检查浏览器扩展、插件以及WebRTC等组件。
研究人员解释说:“该模块实现了WebRTC,这是一种在所有主流浏览器上都支持的免费开源技术,允许网络浏览器和移动应用程序通过应用程序编程接口(API)进行实时通信(RTC)。这使得ScanBox能够连接到一组预配置的目标。”
研究人员解释,攻击者随后可以利用一种称为STUN(NAT会话穿越实用工具)的技术。这是一套标准化的方法,包括一个网络协议,允许交互式通信(包括实时语音、视频和消息应用程序)穿越网络地址转换(NAT)网关。
研究人员表示:“STUN由WebRTC协议支持。通过位于互联网上的第三方STUN服务器,它允许主机发现NAT的存在,并发现NAT为该应用程序的用户数据报协议(UDP)流向远程主机所分配的映射IP地址和端口号。ScanBox将使用STUN服务器实现NAT穿越,作为交互式连接建立(ICE)的一部分。ICE是一种点对点通信方法,用于让客户端尽可能直接通信,避免必须通过NAT、防火墙或其他解决方案进行通信。”
他们解释说:“这意味着ScanBox模块可以建立与STUN服务器的ICE通信,并与受害机器通信,即使它们位于NAT之后。”
威胁行为体
Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在一份声明中解释道,这些威胁行为体“在涉及南海的事务上支持中国政府,包括近期台湾紧张局势期间。该组织特别想了解谁在该地区活动,虽然我们无法确定,但他们对于海军问题的关注很可能在马来西亚、新加坡、台湾和澳大利亚等地持续保持优先。”