攻击者通过水坑攻击传递ScanBox键盘记录器

admin 2022年10月5日15:54:48安全新闻评论16 views1791字阅读5分58秒阅读模式

攻击者通过水坑攻击传递ScanBox键盘记录器

威胁者目前正在加紧向受害者分发ScanBox侦察框架,其中包括澳大利亚的政府组织。该高级威胁集团(APT)使用的诱饵据称是链接到了澳大利亚新闻网站的目标信息。

根据Proofpoint的威胁研究团队和普华永道的威胁情报团队周二的报告,这些网络间谍活动据信是在2022年4月至2022年6月中旬发起的。

据研究人员称,该威胁攻击据调查是APT TA423发起的,该组织也被称为Red Ladon。根据该报告,Proofpoint评估认为,这一活动可能归因于威胁者TA423/Red Ladon。

攻击者通过水坑攻击传递ScanBox键盘记录器
SCANBOX是什么

该攻击活动利用了ScanBox框架。ScanBox是一个可定制的、基于Javascript的多功能框架,主要是被攻击者用来进行秘密侦查信息。

ScanBox已被攻击者使用了近十年,值得注意的是,攻击者不必在目标系统内植入恶意软件,就可以使用该工具获得情报。

普华永道的研究人员在提到以前的一个活动时说,ScanBox特别危险,因为它不需要将恶意软件部署到磁盘上就能窃取信息,只需要网络浏览器执行JavaScript代码就可以触发键盘记录功能。

为了更好的代替恶意软件,攻击者可以将ScanBox与水坑攻击结合起来使用。攻击者将恶意的JavaScript加载到一个被破坏的网站上,ScanBox可以作为一个键盘记录器,记录用户在被攻击的网站上的所有输入的信息。

TA423的攻击是从钓鱼邮件开始的,标题是 "病假"、"用户研究 "和 "请求合作"。通常情况下,这些电子邮件声称是来自"澳大利亚晨报"的雇员,这其实是一个虚构的组织。该员工希望目标能够访问他们的新闻网站 Australianmorningnews[.com]。

研究人员写道,在点击该链接并重定向到该网站后,访问者就会被ScanBox框架攻击。

该链接会将目标指向一个网页,其中的内容是从真实的新闻网站,如英国广播公司和天空新闻网站复制的。在此过程中,它也会加载ScanBox恶意软件框架。

从水坑攻击中提取到的ScanBox键盘记录器数据只是多个阶段攻击中的一部分,它可以让攻击者更深入了解潜在的目标,这将有助于他们未来对这些目标发动攻击。这种技术通常被称为浏览器指纹识别技术。

最初的脚本功能是关于目标计算机的信息列表,包括操作系统、语言和安装的Adobe Flash版本的信息收集。ScanBox还对浏览器扩展、插件和WebRTC等组件进行了检查。

该模块还实现了WebRTC,这是一项免费的开源技术,所有的主流浏览器都支持,它允许网络浏览器和移动应用程序通过应用程序编程接口(API)进行实时通信(RTC)。研究人员解释说,这使得ScanBox能够连接到预先配置好的一组目标。

然后,攻击者也可以利用一种叫做STUN(用于NAT的会话穿越工具)的技术。研究人员解释说,这是一套标准化的方法,其中包括一个网络协议,该协议允许互动通信(包括实时语音、视频和消息应用)穿越网络地址转换器(NAT)网关。

STUN是由WebRTC协议支持的。通过位于互联网上的第三方STUN服务器,它允许主机发现NAT的存在,并发现NAT为应用程序的用户数据报协议(UDP)流向远程主机分配的映射的IP地址和端口号。研究人员称,ScanBox使用STUN服务器实现了NAT穿透,作为交互式连接建立(ICE)的一部分,这是一种能够使客户端尽可能直接通信的点对点通信方法,避免了必须通过NAT、防火墙或其他解决方案进行通信。

他们解释说,这意味着ScanBox模块可以建立与STUN服务器的ICE通信,并与受害者机器进行通信,即使它们处于NAT后面。

攻击者通过水坑攻击传递ScanBox键盘记录器
威胁的行为者

过去,该组织的活动范围已经远远超出了大洋洲。根据司法部2021年7月的一份起诉书,该集团从 "美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国 "的受害者那里窃取商业秘密和机密商业信息。目标行业包括了航空、国防、教育、政府、医疗保健、生物制药和海事。

尽管有司法部的起诉,分析家们也并没有观察到TA423的行动节奏有明显的减缓。

参考及来源:https://threatpost.com/watering-hole-attacks-push-scanbox-keylogger/180490/

攻击者通过水坑攻击传递ScanBox键盘记录器

攻击者通过水坑攻击传递ScanBox键盘记录器

原文始发于微信公众号(嘶吼专业版):攻击者通过水坑攻击传递ScanBox键盘记录器

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月5日15:54:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻击者通过水坑攻击传递ScanBox键盘记录器 http://cn-sec.com/archives/1329849.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: