水坑攻击推送ScanBox键盘记录器

研究人员发现一起可能由APT TA423组织发起的水坑攻击，试图植入基于JavaScript的ScanBox侦察工具。

一家中国威胁行为体加强了对ScanBox侦察框架的分发力度，目标包括澳大利亚国内组织和南海的离岸能源公司。该高级威胁组织（APT）使用的诱饵是伪装成澳大利亚新闻网站链接的定向信息。

根据Proofpoint威胁研究团队和PwC威胁情报团队周二发布的报告，这些网络间谍活动被认为始于2022年4月，持续至2022年6月中旬。

研究人员认为，该威胁行为体是中国背景的APT组织TA423，亦称为Red Ladon。“Proofpoint以中等置信度评估，此活动可能归因于威胁行为体TA423/Red Ladon，多份报告评估其在中国海南岛运作，“报告称。

该APT组织最近因一份起诉书而闻名。“美国司法部2021年的起诉书评估认为，TA423/Red Ladon为海南省国家安全厅（MSS）提供长期支持，“研究人员表示。

MSS是中华人民共和国的民事情报、安全和网络警察机构，被认为负责反情报、外国情报、政治安全，并与中国的工业和网络间谍活动有关。

重拾ScanBox

该活动利用了ScanBox框架。ScanBox是一个可定制、多功能的基于JavaScript的框架，被对手用于进行隐蔽侦察。

对手使用ScanBox已近十年，该工具的显著特点是犯罪分子无需在目标系统上植入恶意软件即可进行反情报收集。

“ScanBox特别危险，因为它不需要成功部署恶意软件到磁盘即可窃取信息——键盘记录功能仅需网络浏览器执行JavaScript代码，“PwC研究人员在提及先前活动时表示。

攻击者可将ScanBox与水坑攻击结合使用，而非依赖恶意软件。对手将恶意JavaScript加载到受感染的网站上，ScanBox作为键盘记录器捕获用户在该受感染水坑网站上的所有键入活动。

TA423的攻击始于网络钓鱼邮件，标题如"病假”、“用户研究"和"请求合作”。这些邮件常伪称来自虚构组织"澳大利亚晨报"的员工，敦促目标访问其"简陋新闻网站"australianmorningnews[.]com。

“点击链接重定向到该网站后，访问者会被加载ScanBox框架，“研究人员写道。

该链接将目标导向一个网页，其内容复制自BBC和Sky News等真实新闻网站。在此过程中，它还传递了ScanBox恶意软件框架。

从水坑网站收集的ScanBox键盘记录数据是多阶段攻击的一部分，使攻击者能深入了解潜在目标，帮助他们未来发起进一步攻击。此技术常被称为浏览器指纹识别。

主要的初始脚本会获取目标计算机的信息列表，包括操作系统、语言和已安装的Adobe Flash版本。ScanBox还会检查浏览器扩展、插件和组件（如WebRTC）。

“该模块实现了WebRTC，这是一种所有主流浏览器均支持的免费开源技术，允许网络浏览器和移动应用程序通过应用程序编程接口（API）进行实时通信（RTC）。这使得ScanBox能够连接到一组预配置的目标，“研究人员解释。

对手随后可利用名为STUN（NAT会话遍历实用程序）的技术。这是一套标准化方法，包括网络协议，允许交互式通信（包括实时语音、视频和消息应用）穿越网络地址转换（NAT）网关，研究人员解释。

“STUN受WebRTC协议支持。通过互联网上的第三方STUN服务器，它允许主机发现NAT的存在，并发现NAT为应用程序的用户数据报协议（UDP）流到远程主机所分配的映射IP地址和端口号。ScanBox使用STUN服务器实现NAT遍历，作为交互式连接建立（ICE）的一部分，ICE是一种点对点通信方法，用于客户端尽可能直接通信，避免通过NAT、防火墙或其他解决方案进行通信，“根据研究人员。

“这意味着ScanBox模块可以建立与STUN服务器的ICE通信，即使受害机器位于NAT之后也能与之通信，“他们解释。

威胁行为体

“这些威胁行为体在南海相关事务上支持中国政府，包括近期台湾紧张局势期间，“Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在一份声明中解释，“该组织特别想了解谁在该地区活动，虽然我们无法确定，但他们对于海军问题的关注很可能在马来西亚、新加坡、台湾和澳大利亚等地保持恒定优先事项。”

该组织过去的活动范围远超出澳大拉西亚。根据2021年7月美国司法部的起诉书，该组织从"美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国"的受害者处"窃取了商业机密和机密商业信息”。目标行业包括航空、国防、教育、政府、医疗、生物制药和海事等。

尽管有司法部起诉，分析人员"未观察到TA423行动节奏有明显中断”，他们"共同预期TA423/Red Ladon将继续执行其情报收集和间谍任务”。