水坑攻击推送ScanBox键盘记录器

研究人员发现了一起可能由APT TA423发起的水坑攻击，试图植入基于JavaScript的ScanBox侦察工具。

一个中国的威胁行为体加大力度分发ScanBox侦察框架，目标包括澳大利亚国内组织和南海的离岸能源公司。这个高级威胁组织（APT）使用的诱饵是针对性消息，声称链接回澳大利亚新闻网站。

根据Proofpoint威胁研究团队和PwC威胁情报团队周二发布的报告，这些网络间谍活动被认为在2022年4月至2022年6月中旬启动。

研究人员认为，该威胁行为体是中国的APT TA423，也称为Red Ladon。“Proofpoint以中等置信度评估，此活动可能归因于威胁行为体TA423 / Red Ladon，多个报告评估其在中国海南岛运作，”报告称。

该APT最近因一份起诉书而闻名。“美国司法部2021年的起诉书评估，TA423 / Red Ladon为海南省国家安全部（MSS）提供长期支持，”研究人员说。

MSS是中华人民共和国的民用情报、安全和网络警察机构，被认为负责反情报、外国情报、政治安全，并与中国的工业和网络间谍活动有关。

重新启用ScanBox

该活动利用了ScanBox框架。ScanBox是一个可定制和多功能的基于JavaScript的框架，被对手用于进行隐蔽侦察。

ScanBox已被对手使用了近十年，值得注意的是，犯罪分子可以使用该工具进行反情报工作，而无需在目标系统上植入恶意软件。

“ScanBox特别危险，因为它不需要成功部署恶意软件到磁盘即可窃取信息——键盘记录功能只需要Web浏览器执行JavaScript代码，”PwC研究人员在提到先前活动时表示。

攻击者可以使用ScanBox结合水坑攻击，而不是恶意软件。对手将恶意JavaScript加载到受感染的网站上，ScanBox充当键盘记录器，捕获用户在该受感染水坑网站上的所有键入活动。

TA423的攻击始于钓鱼邮件，标题如“病假”、“用户研究”和“请求合作”。通常，这些邮件声称来自“澳大利亚晨报”——一个虚构组织——的员工。该员工敦促目标访问他们的“简陋新闻网站”australianmorningnews[.]com。

“点击链接并重定向到网站后，访问者会被提供ScanBox框架，”研究人员写道。

该链接将目标导向一个网页，内容复制自实际新闻网站，如BBC和Sky News。在此过程中，它还提供了ScanBox恶意软件框架。

从水坑中收集的ScanBox键盘记录器数据是多阶段攻击的一部分，为攻击者提供对潜在目标的洞察，帮助他们发起未来的攻击。这种技术通常称为浏览器指纹识别。

主要的初始脚本获取目标计算机的信息列表，包括操作系统、语言和安装的Adobe Flash版本。ScanBox还运行检查浏览器扩展、插件和组件，如WebRTC。

“该模块实现了WebRTC，这是一种在所有主要浏览器上支持的免费开源技术，允许Web浏览器和移动应用程序通过应用程序编程接口（API）执行实时通信（RTC）。这使得ScanBox能够连接到一组预配置的目标，”研究人员解释。

对手然后可以利用称为STUN（NAT的会话遍历实用程序）的技术。这是一套标准化方法，包括网络协议，允许交互式通信（包括实时语音、视频和消息应用程序）穿越网络地址转换器（NAT）网关，研究人员解释。

“STUN由WebRTC协议支持。通过位于互联网上的第三方STUN服务器，它允许主机发现NAT的存在，并发现NAT为应用程序的用户数据报协议（UDP）流到远程主机分配的映射IP地址和端口号。ScanBox使用STUN服务器作为交互式连接建立（ICE）的一部分实现NAT遍历，ICE是一种点对点通信方法，用于客户端尽可能直接通信，避免通过NAT、防火墙或其他解决方案通信，”根据研究人员。

“这意味着ScanBox模块可以设置到STUN服务器的ICE通信，并与受害机器通信，即使它们在NAT后面，”他们解释。

威胁行为体

威胁行为体“在南海相关事务上支持中国政府，包括最近台湾的紧张局势，”Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在声明中解释，“该组织特别想知道谁在该地区活跃，虽然我们不能确定，但他们对海军问题的关注可能仍然是马来西亚、新加坡、台湾和澳大利亚等地的恒定优先事项。”

该组织过去曾扩展到澳大拉西亚以外。根据2021年7月司法部的起诉书，该组织从“美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国”的受害者那里“窃取了商业秘密和机密商业信息”。目标行业包括航空、国防、教育、政府、医疗保健、生物制药和海事等。

尽管有司法部起诉书，分析师“没有观察到TA423的操作节奏明显中断”，他们“集体预计TA423 / Red Ladon将继续追求其情报收集和间谍任务”。