水坑攻击推送ScanBox键盘记录器 | 中国APT组织TA423的间谍活动

研究人员发现由中国APT组织TA423发起的水坑攻击,该攻击试图部署基于JavaScript的ScanBox侦察工具,针对南中国海地区的能源企业和澳大利亚组织进行网络间谍活动。

水坑攻击推送ScanBox键盘记录器

研究人员发现一起可能由中国APT组织TA423发起的水坑攻击,试图部署基于JavaScript的ScanBox侦察工具。该中国威胁组织加大了对ScanBox侦察框架的分发力度,目标包括澳大利亚国内组织和南中国海的离岸能源公司。

攻击活动细节

  • 时间范围:2022年4月至6月中旬
  • 攻击方式:钓鱼邮件伪装成"澳大利亚晨报"员工发送,诱导受害者访问伪造新闻网站australianmorningnews[.]com
  • 载荷交付:网站植入ScanBox框架,页面内容复制自BBC等真实新闻源

ScanBox技术分析

  1. 无文件攻击

    • 纯JavaScript实现,无需在磁盘部署恶意软件
    • 通过浏览器执行即可实现键盘记录功能

  2. 浏览器指纹收集

    • 获取操作系统、语言、Adobe Flash版本
    • 检测浏览器扩展/插件(包括WebRTC)

  3. 网络穿透技术

    • 集成WebRTC协议实现实时通信
    • 利用STUN服务器穿透NAT(通过UDP流量映射)
    • 采用ICE点对点通信绕过防火墙限制

攻击者背景

  • 组织关联:美国司法部指控TA423为海南省国家安全厅提供长期支持
  • 地缘目标:重点关注南中国海地区(马来西亚、新加坡、台湾、澳大利亚)
  • 历史活动:曾入侵航空、国防、生物制药等跨国企业

持续威胁

尽管2021年已被美国司法部起诉,研究人员未观察到该组织活动节奏有明显中断,预计将继续实施情报收集任务。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次