水坑攻击推送ScanBox键盘记录器

研究人员发现一起可能由中国APT组织TA423发起的水坑攻击，试图部署基于JavaScript的ScanBox侦察工具。

这一中国背景的威胁行为体加大力度分发ScanBox侦察框架，目标包括澳大利亚国内组织及南海离岸能源公司。该高级威胁组织（APT）使用诱饵信息，假称链接至澳大利亚新闻网站。

据Proofpoint威胁研究团队与PwC威胁情报团队周二报告，网络间谍活动据信于2022年4月至6月中旬发起。

研究人员认为，该威胁行为体是中国APT组织TA423，又名Red Ladon。“Proofpoint以中等置信度评估此活动可能归因于威胁行为体TA423/Red Ladon，多份报告评估其在中国海南岛运作，“报告称。

该APT最近因一起起诉而闻名。“美国司法部2021年起诉书评估TA423/Red Ladon为海南省国家安全部（MSS）提供长期支持，“研究人员表示。

MSS是中华人民共和国民用情报、安全及网络警察机构，据信负责反情报、外国情报、政治安全，并与中国工业和网络间谍活动相关。

重启ScanBox

该活动利用ScanBox框架。ScanBox是一个可定制、多功能的基于JavaScript的框架，被对手用于进行隐蔽侦察。

ScanBox已被对手使用近十年，值得注意是因为罪犯可使用该工具进行反情报工作，而无需在目标系统上部署恶意软件。

“ScanBox特别危险，因为它不需要成功部署恶意软件到磁盘即可窃取信息——键盘记录功能仅需Web浏览器执行JavaScript代码，“PwC研究人员在提及先前活动时表示。

攻击者可结合水坑攻击使用ScanBox，而非恶意软件。对手将恶意JavaScript加载到受感染网站，ScanBox作为键盘记录器捕获用户在所有受感染水坑网站上的键入活动。

TA423的攻击始于钓鱼邮件，标题如"病假”、“用户研究"和"请求合作”。邮件常假称来自虚构组织"澳大利亚晨报"员工，敦促目标访问其"简陋新闻网站"australianmorningnews[.]com。

“点击链接重定向至网站后，访问者被提供ScanBox框架，“研究人员写道。

链接将目标导向复制自BBC和Sky News等真实新闻网站内容的网页，同时传递ScanBox恶意软件框架。

从水坑收集的ScanBox键盘记录器数据是多阶段攻击的一部分，为攻击者提供对潜在目标的洞察，帮助未来发起攻击。此技术常称为浏览器指纹识别。

主要初始脚本获取目标计算机信息列表，包括操作系统、语言和安装的Adobe Flash版本。ScanBox还检查浏览器扩展、插件和组件如WebRTC。

“该模块实现WebRTC，这是一种所有主流浏览器支持的免费开源技术，允许Web浏览器和移动应用通过API执行实时通信（RTC）。这使得ScanBox可连接至一组预配置目标，“研究人员解释。

对手随后可利用称为STUN（NAT会话遍历实用程序）的技术。这是一套标准化方法，包括网络协议，允许交互通信（包括实时语音、视频和消息应用）穿越网络地址转换（NAT）网关，研究人员解释。

“STUN由WebRTC协议支持。通过互联网上第三方STUN服务器，允许主机发现NAT存在，并发现NAT为应用用户数据报协议（UDP）流至远程主机分配的映射IP地址和端口号。ScanBox使用STUN服务器实现NAT遍历，作为交互式连接建立（ICE）的一部分，这是一种点对点通信方法，用于客户端尽可能直接通信，避免通过NAT、防火墙或其他解决方案通信，“据研究人员称。

“这意味着ScanBox模块可设置至STUN服务器的ICE通信，并与受害机器通信，即使它们在NAT之后，“他们解释。

威胁行为体

威胁行为体"在南海相关事务上支持中国政府，包括近期台湾紧张局势，“Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在声明中解释，“该组织特别想了解谁在该地区活跃，虽然我们不能确定，但他们对海军问题的关注可能仍是马来西亚、新加坡、台湾和澳大利亚等地的恒定优先事项。”

该组织过去已扩展远超出澳大拉西亚。据2021年7月司法部起诉书，该组织从"美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国"受害者处"窃取商业秘密和机密商业信息”。目标行业包括航空、国防、教育、政府、医疗保健、生物制药和海事等。

尽管有司法部起诉，分析师"未观察到TA423操作节奏的明显中断”，他们"共同预期TA423/Red Ladon将继续追求其情报收集和间谍任务”。