水坑攻击推送ScanBox键盘记录器

研究人员揭露了一起很可能是由中国背景的威胁组织APT TA423（又称Red Ladon）发起的水坑攻击。该攻击试图植入基于JavaScript的侦察工具ScanBox。

攻击活动概述

该网络间谍活动据信于2022年4月至6月中旬发起。Proofpoint的威胁研究团队和PwC的威胁情报团队在一份报告中指出，攻击者被认为是来自中国的APT TA423。报告称：“Proofpoint以中等信心评估，此活动可能可归因于威胁行为者TA423/Red Ladon，多份报告评估其在中国海南岛运作。”

该APT组织最近因一份起诉书而为人所知。研究人员表示：“美国司法部2021年的一份起诉书评估认为，TA423/Red Ladon为海南省国家安全部（MSS）提供长期支持。” MSS是中华人民共和国的民用情报、安全和网络警察机构，被认为负责反情报、对外情报、政治安全工作，并与中国的工业和网络间谍活动有关联。

ScanBox框架分析

此次攻击活动利用了ScanBox框架。ScanBox是一个可定制化、多功能的基于JavaScript的框架，攻击者用它来进行隐蔽侦察。

ScanBox已被攻击者使用了近十年，其值得注意之处在于犯罪分子可以使用该工具进行反情报活动，而无需在目标系统上植入恶意软件。PwC的研究人员在提及先前的一次活动时指出：“ScanBox尤其危险，因为它不需要成功将恶意软件部署到磁盘即可窃取信息——其键盘记录功能只需要Web浏览器执行JavaScript代码即可。”

攻击者可以结合水坑攻击来使用ScanBox，而无需使用传统恶意软件。攻击者将恶意JavaScript加载到被入侵的网站上，ScanBox在那里充当键盘记录器，捕获用户在受感染的水坑网站上的所有键入活动。

攻击链详情

TA423的攻击始于钓鱼邮件，邮件标题如“病假”、“用户研究”和“请求合作”。这些邮件通常自称来自虚构组织“澳大利亚晨报”的员工。该“员工”恳请目标访问其“简陋的新闻网站”australianmorningnews[.]com。研究人员写道：“点击链接并重定向到该网站后，访问者就会被植入ScanBox框架。”

该链接将目标引导至一个网页，其内容复制自BBC和天空新闻等真实新闻网站。在此过程中，它同时传递了ScanBox恶意软件框架。

从水坑网站收集的ScanBox键盘记录器数据是多阶段攻击的一部分，使攻击者能够深入了解潜在目标，从而帮助他们未来对其发起攻击。这种技术通常被称为浏览器指纹识别。

主要的初始脚本会收集一系列关于目标计算机的信息，包括操作系统、语言和已安装的Adobe Flash版本。ScanBox还会检查浏览器扩展、插件和WebRTC等组件。研究人员解释：“该模块实现了WebRTC，这是一种在所有主流浏览器上都支持的免费开源技术，它允许Web浏览器和移动应用程序通过应用程序编程接口（API）执行实时通信（RTC）。这使得ScanBox能够连接到一组预先配置的目标。”

网络穿透技术

然后，攻击者可以利用一种名为STUN（用于NAT的会话遍历工具）的技术。研究人员解释说，这是一套标准化的方法（包括一个网络协议），允许交互式通信（包括实时语音、视频和消息应用程序）穿越网络地址转换（NAT）网关。“STUN由WebRTC协议支持。通过位于互联网上的第三方STUN服务器，它允许主机发现NAT的存在，并发现NAT为该应用程序到远程主机的用户数据报协议（UDP）流分配的映射IP地址和端口号。ScanBox将STUN服务器作为交互式连接建立（ICE）的一部分来实现NAT穿越。ICE是一种点对点通信方法，用于让客户端尽可能直接通信，避免必须通过NAT、防火墙或其他解决方案进行通信。”

“这意味着ScanBox模块可以建立与STUN服务器的ICE通信，并与受害机器通信，即使它们位于NAT之后，”他们解释道。

威胁行为者背景

Proofpoint威胁研究与检测副总裁Sherrod DeGrippo在一份声明中解释道，该威胁行为者“在中国政府涉及南海的事务上提供支持，包括近期台湾的紧张局势期间。该组织特别想了解谁在该地区活动，虽然我们无法肯定，但他们关注海军问题很可能在马来西亚、新加坡、台湾和澳大利亚等地持续保持优先地位。”

该组织过去的活动范围远不止澳大拉西亚地区。根据2021年7月美国司法部的一份起诉书，该组织从“美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国”的受害者那里“窃取了商业机密和机密商业信息”。目标行业包括航空、国防、教育、政府、医疗保健、生物制药和海事等。

尽管有美国司法部的起诉，分析师“并未观察到TA423的行动节奏出现明显的扰乱”，并且他们“共同预期TA423/Red Ladon将继续执行其情报收集和间谍任务”。