水坑攻击推送ScanBox键盘记录器

研究人员发现一起可能由中国威胁组织APT TA423发起的水坑攻击，试图部署基于JavaScript的ScanBox侦察工具。

该中国威胁组织加强了对ScanBox侦察框架的分发力度，目标包括澳大利亚国内组织和南海离岸能源公司。这个高级威胁组织（APT）使用的诱饵是伪装成澳大利亚新闻网站链接的定向信息。

根据Proofpoint威胁研究团队和PwC威胁情报团队周二发布的报告，这些网络间谍活动据信始于2022年4月并持续到2022年6月中旬。

研究人员认为该威胁组织是中国APT TA423（又称Red Ladon）。报告指出：“Proofpoint以中等置信度评估，此活动可能归因于威胁组织TA423/Red Ladon，多份报告评估其在中国海南岛运作。”

该APT最近因一项起诉而闻名。研究人员表示：“美国司法部2021年的起诉书评估，TA423/Red Ladon为海南省国家安全厅（MSS）提供长期支持。”

MSS是中华人民共和国的民事情报、安全和网络警察机构，被认为负责反情报、外国情报、政治安全，并与中国的工业和网络间谍活动有关。

重振ScanBox

该活动利用ScanBox框架。ScanBox是一个可定制、多功能的基于JavaScript的框架，被对手用于进行隐蔽侦察。

对手使用ScanBox已近十年，该工具的显著特点是犯罪分子无需在目标系统上部署恶意软件即可进行反情报收集。

PwC研究人员在提及先前活动时指出：“ScanBox特别危险，因为它不需要成功部署恶意软件到磁盘即可窃取信息——键盘记录功能只需通过网络浏览器执行JavaScript代码。”

攻击者可将ScanBox与水坑攻击结合使用，而无需恶意软件。对手将恶意JavaScript加载到受感染的网站上，ScanBox作为键盘记录器捕获用户在受感染水坑网站上的所有键入活动。

攻击流程

TA423的攻击从钓鱼邮件开始，标题如"病假"、“用户研究"和"请求合作”。这些邮件通常声称来自虚构组织"澳大利亚晨报"的员工，敦促目标访问其"简陋新闻网站"australianmorningnews[.]com。

研究人员写道：“点击链接重定向到该网站后，访问者会被加载ScanBox框架。”

该链接将目标导向包含从BBC和Sky News等真实新闻网站复制内容的网页，同时传递ScanBox恶意软件框架。

技术细节

从水坑收集的ScanBox键盘记录器数据是多阶段攻击的一部分，使攻击者能了解潜在目标，帮助他们发起未来攻击。此技术通常称为浏览器指纹识别。

主要的初始脚本获取目标计算机信息列表，包括操作系统、语言和安装的Adobe Flash版本。ScanBox还检查浏览器扩展、插件和WebRTC等组件。

研究人员解释：“该模块实现WebRTC，这是一种所有主要浏览器支持的免费开源技术，允许网络浏览器和移动应用程序通过API执行实时通信（RTC）。这使得ScanBox能连接到一组预配置目标。”

对手随后可利用称为STUN（NAT会话遍历实用程序）的技术。研究人员解释，这是一套标准化方法，包括网络协议，允许交互式通信（包括实时语音、视频和消息应用）穿越网络地址转换（NAT）网关。

“STUN由WebRTC协议支持。通过互联网上的第三方STUN服务器，它允许主机发现NAT的存在，并发现NAT为应用程序的UDP流到远程主机分配的映射IP地址和端口号。ScanBox使用STUN服务器实现NAT遍历，作为交互式连接建立（ICE）的一部分，ICE是一种点对点通信方法，用于客户端尽可能直接通信，避免通过NAT、防火墙或其他解决方案进行通信。”

他们解释：“这意味着ScanBox模块可以建立与STUN服务器的ICE通信，即使受害机器位于NAT后面也能与之通信。”

威胁背景

Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在声明中解释：“这些威胁行为体在南海相关事务上支持中国政府，包括近期台湾紧张局势期间。该组织特别想了解谁在该地区活动，虽然我们不能确定，但他们对海军问题的关注可能仍然是马来西亚、新加坡、台湾和澳大利亚等地的持续优先事项。”

该组织过去的活动范围远超出澳大拉西亚。根据2021年7月司法部起诉书，该组织从"美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国"的受害者处"窃取商业机密和机密商业信息"。目标行业包括航空、国防、教育、政府、医疗保健、生物制药和海事等。

尽管有司法部起诉，分析师"未观察到TA423行动节奏明显中断"，他们"共同预期TA423/Red Ladon将继续执行其情报收集和间谍任务"。