Welcome Guest, Kindly Login | Register

Watering Hole Attacks Push ScanBox Keylogger

By - | Categories: Metro

Share this post:

1.
2.
3.
4.
watering hole e1585688492540

Researchers uncover a watering hole attack likely carried out by APT TA423, which attempts to plant the ScanBox JavaScript-based reconnaissance tool.

A China-based threat actor has ramped up efforts to distribute the ScanBox reconnaissance framework to victims that include domestic Australian organizations and offshore energy firms in the South China Sea. The bait used by the advanced threat group (APT) is targeted messages that supposedly link back to Australian news websites.

The cyber-espionage campaigns are believed to have launched April 2022 through mid-June 2022, according to a Tuesday report by Proofpoint’s Threat Research Team and PwC’s Threat Intelligence team.

The threat actor, according to researchers, is believed to be the China-based APT TA423, also known as Red Ladon. “Proofpoint assesses with moderate confidence that this activity may be attributable to the threat actor TA423 / Red Ladon, which multiple reports assess to operate out of Hainan Island, China,” according to the report.

The APT is most recently known for a recent indictment. “A 2021 indictment by the US Department of Justice assessed that TA423 / Red Ladon provides long-running support to the Hainan Province Ministry of State Security (MSS),” researchers said.

MSS is the civilian intelligence, security and cyber police agency for the People’s Republic of China. It is believed responsible for counter-intelligence, foreign intelligence, political security and tied to industrial and cyber espionage efforts by China.

Dusting Off the ScanBox 

The campaign leverages the ScanBox framework. ScanBox is a customizable and multifunctional Javascript-based framework used by adversaries to conducting covert reconnaissance.

ScanBox has been used by adversaries for nearly a decade and is noteworthy because criminals can use the tool to conduct counter intelligence without having to plant malware on a targets system.

“ScanBox is particularly dangerous as it doesn’t require malware to be successfully deployed to disk in order to steal information – the keylogging functionality simply requires the JavaScript code to be executed by a web browser,” according to PwC researchers referring to a previous campaign.

In lieu of malware, attackers can use ScanBox in conjunction with watering hole attacks. Adversaries load the malicious JavaScript onto a compromised website where the ScanBox acts as a keylogger snagging all of a user’s typed activity on the infected watering hole website.

TA423’s attacks began with phishing emails, with such titles as “Sick Leave,” “User Research” and “Request Cooperation.” Often, the emails purported to come from an employee of the “Australian Morning News,” a fictional organization. The employee implored targets to visit their “humble news website,” australianmorningnews[.]com.

“Upon clicking the link and redirecting to the site, visitors were served the ScanBox framework,” researchers wrote.

The link directed targets to a web page with content copied from actual news sites, like the BBC and Sky News. In the process, it also delivered the ScanBox malware framework.

ScanBox keylogger data culled from waterholes is part of a multi-stage attack, giving attackers insight into the potential targets that will help them launch future attacks against them. This technique is often called browser fingerprinting.

The primary, initial script sources a list of information about the target computer, including the operating system, language and version of Adobe Flash installed. ScanBox additionally runs a check for browser extensions, plugins and components such WebRTC.

“The module implements WebRTC, a free and open-source technology supported on all major browsers, which allows web browsers and mobile applications to perform real-time communication (RTC) over application programming interfaces (APIs). This allows ScanBox to connect to a set of pre-configured targets,” researchers explain.

Adversaries can then leverage a technology called STUN (Session Traversal Utilities for NAT). This is a standardized set of methods, including a network protocol, that allows interactive communications (including real-time voice, video, and messaging applications) to traverse network address translator (NAT) gateways, researchers explain.

“STUN is supported by the WebRTC protocol. Through a third-party STUN server located on the Internet, it allows hosts to discover the presence of a NAT, and to discover the mapped IP address and port number that the NAT has allocated for the application’s User Datagram Protocol (UDP) flows to remote hosts. ScanBox implements NAT traversal using STUN servers as part of Interactive Connectivity Establishment (ICE), a peer-to-peer communication method used for clients to communicate as directly as possible, avoiding having to communicate through NATs, firewalls, or other solutions,” according to researchers.

“This means that the ScanBox module can set up ICE communications to STUN servers, and communicate with victim machines even if they are behind NAT,” they explain.

Threat Actors

The threat actors “support the Chinese government in matters related to the South China Sea, including during the recent tensions in Taiwan,” Sherrod DeGrippo, vice president of threat research and detection at Proofpoint, explained in a statement, “This group specifically wants to know who is active in the region and, while we can’t say for certain, their focus on naval issues is likely to remain a constant priority in places like Malaysia, Singapore, Taiwan, and Australia.”

The group has, in the past, expanded well beyond Australasia. According to a Department of Justice indictment from July, 2021, the group has “stolen trade secrets and confidential business information” from victims in “the United States, Austria, Cambodia, Canada, Germany, Indonesia, Malaysia, Norway, Saudi Arabia, South Africa, Switzerland and the United Kingdom. Targeted industries included, among others, aviation, defense, education, government, health care, biopharmaceutical and maritime.”

Despite the DoJ indictment, analysts “have not observed a distinct disruption of operational tempo” from TA423, and they “collectively expect TA423 / Red Ladon to continue pursuing its intelligence-gathering and espionage mission.”


Watering Hole Attacks Push ScanBox Keylogger

By - | Categories: Наука и техникаTags:
1.
2.
3.
4.
watering hole e1585688492540

Исследователи обнаружили атаку водопоя, вероятно, проведенную APT TA423, которая пытается установить разведывательный инструмент scanBox на основе JavaScript.

Базирующийся в Китае субъект угроз активизировал усилия по распространению разведывательной системы ScanBox среди жертв, в том числе внутренних австралийских организаций и оффшорных энергетических фирм в Южно-Китайском море. Приманка, используемая расширенной группой угроз (APT), — это целевые сообщения, которые якобы ссылаются на австралийские новостные сайты.

Считается, что кампании кибершпионажа стартовали с апреля 2022 года до середины июня 2022 года, согласно отчету во вторник Proofpoint Threat Research Team и PwC Threat Intelligence.

По мнению исследователей, субъектом угрозы является базирующийся в Китае APT TA423, также известный как Red Ladon. «Proofpoint оценивает с умеренной уверенностью, что эта деятельность может быть связана с угрожающим субъектом TA423 / Red Ladon, который, -ERR:REF-NOT-FOUND-по оценкам несколькихотчетов, действует с острова Хайнань, Китай», — говорится в отчете.  

APT совсем недавно был известен недавним обвинительным заключением. «Обвинительное заключение Министерства юстиции США в 2021 году оценило, что TA423 / Red Ladon оказывает долгосрочную поддержку Министерству государственной безопасности провинции Хайнань (MSS)», – сказали исследователи.

MSS является гражданским агентством разведки, безопасности и киберполиции для Китайской Народной Республики. Считается, что он отвечает за контрразведку, иностранную разведку, политическую безопасность и связан с промышленными и кибершпионажными усилиями Китая.

Очистка пыли от ScanBox

Кампания использует инфраструктуру ScanBox. ScanBox – это настраиваемый и многофункциональный Javascript-фреймворк, используемый противниками для ведения тайной разведки.

ScanBox используется противниками в течение почти десятилетия и заслуживает внимания, потому что преступники могут использовать этот инструмент для проведения контрразведки без необходимости установки вредоносного ПО на целевую систему.

«ScanBox особенно опасен, поскольку он не требует успешного развертывания вредоносного ПО на диске для кражи информации — функциональность кейлоггинга просто требует, чтобы код JavaScript выполнялся веб-браузером», — говорят исследователи PwC , ссылаясь на предыдущую кампанию.

Вместо вредоносного ПО злоумышленники могут использовать ScanBox в сочетании с атаками водопоя. Злоумышленники загружают вредоносный JavaScript на скомпрометированный веб-сайт, где ScanBox действует как кейлоггер, перехватывающий всю типизированную активность пользователя на зараженном веб-сайте водопоя.

Атаки TA423 начались с фишинговых писем с такими названиями, как «Больничный лист», «Исследование пользователей» и «Запрос на сотрудничество». Часто электронные письма якобы поступали от сотрудника «Australian Morning News», вымышленной организации. Сотрудник умолял мишени посетить их «скромный новостной сайт», australianmorningnews. ком.

«После нажатия на ссылку и перенаправления на сайт посетителям был предоставлен фреймворк ScanBox», — пишут исследователи.

Ссылка направляла на веб-страницу с контентом, скопированным с реальных новостных сайтов, таких как BBC и Sky News. В процессе он также предоставил вредоносную инфраструктуру ScanBox.

Данные кейлоггера ScanBox, отобранные из водопоев, являются частью многоступенчатой атаки, что дает злоумышленникам представление о потенциальных целях, которые помогут им начать будущие атаки против них. Этот метод часто называют дактилоскопией браузера.

Основной, исходный сценарий получает список информации о целевом компьютере, включая операционную систему, язык и версию установленного Adobe Flash. ScanBox дополнительно запускает проверку расширений браузера, плагинов и компонентов, таких как WebRTC.

«Модуль реализует WebRTC, бесплатную технологию с открытым исходным кодом, поддерживаемую во всех основных браузерах, которая позволяет веб-браузерам и мобильным приложениям выполнять связь в режиме реального времени (RTC) через интерфейсы прикладного программирования (API). Это позволяет ScanBox подключаться к набору предварительно настроенных целей», — объясняют исследователи.

Затем злоумышленники могут использовать технологию под названием STUN (Session Traversal Utilities for NAT). Это стандартизированный набор методов, включая сетевой протокол, который позволяет интерактивным коммуникациям (включая приложения для передачи голоса, видео и обмена сообщениями в режиме реального времени) проходить через шлюзы транслятора сетевых адресов (NAT), объясняют исследователи.

"STUN поддерживается протоколом WebRTC. Через сторонний STUN-сервер, расположенный в Интернете, он позволяет узлам обнаруживать наличие NAT и обнаруживать сопоставленный IP-адрес и номер порта, выделенные NAT для потоков протокола UDP приложения на удаленные узлы. ScanBox реализует обход NAT с использованием серверов STUN в рамках Interactive Connectivity Establishment (ICE), однорангового метода связи, используемого для клиентов для максимально прямого общения, избегая необходимости общаться через NAT, брандмауэры или другие решения», — говорят исследователи.

«Это означает, что модуль ScanBox может настраивать связь ICE с серверами STUN и взаимодействовать с машинами-жертвами, даже если они находятся за NAT», — объясняют они.

Субъекты угроз

Субъекты угроз «поддерживают китайское правительство в вопросах, связанных с Южно-Китайским морем, в том числе во время недавней напряженности на Тайване», — пояснил в своем заявлении Шеррод ДеГриппо, вице-президент по исследованиям и обнаружению угроз в Proofpoint: «Эта группа специально хочет знать, кто активен в регионе, и, хотя мы не можем сказать наверняка, их внимание к военно-морским вопросам, вероятно, останется постоянным приоритетом в таких местах, как Малайзия, Сингапур, Тайвань и Австралия».

В прошлом эта группа выходила далеко за пределы Австралазии. Согласно обвинительному заключению Министерства юстиции от июля 2021 года, группа «украла коммерческую тайну и конфиденциальную деловую информацию» у жертв в «Соединенных Штатах, Австрии, Камбодже, Канаде, Германии, Индонезии, Малайзии, Норвегии, Саудовской Аравии, Южной Африке, Швейцарии и Соединенном Королевстве. Целевые отрасли включали, среди прочего, авиацию, оборону, образование, правительство, здравоохранение, биофармацевтическую и морскую».

Несмотря на обвинительное заключение Министерства юстиции, аналитики «не наблюдали явного нарушения оперативного темпа» от TA423, и они «коллективно ожидают, что TA423 / Red Ladon продолжит выполнять свою миссию по сбору разведданных и шпионажу».


Watering Hole Attacks Push ScanBox Keylogger

By - | Categories: Science & Tech
1.
2.
3.
4.
watering hole e1585688492540

Researchers uncover a watering hole attack likely carried out by APT TA423, which attempts to plant the ScanBox JavaScript-based reconnaissance tool.

A China-based threat actor has ramped up efforts to distribute the ScanBox reconnaissance framework to victims that include domestic Australian organizations and offshore energy firms in the South China Sea. The bait used by the advanced threat group (APT) is targeted messages that supposedly link back to Australian news websites.

The cyber-espionage campaigns are believed to have launched April 2022 through mid-June 2022, according to a Tuesday report by Proofpoint’s Threat Research Team and PwC’s Threat Intelligence team.

The threat actor, according to researchers, is believed to be the China-based APT TA423, also known as Red Ladon. “Proofpoint assesses with moderate confidence that this activity may be attributable to the threat actor TA423 / Red Ladon, which multiple reports assess to operate out of Hainan Island, China,” according to the report.

The APT is most recently known for a recent indictment. “A 2021 indictment by the US Department of Justice assessed that TA423 / Red Ladon provides long-running support to the Hainan Province Ministry of State Security (MSS),” researchers said.

MSS is the civilian intelligence, security and cyber police agency for the People’s Republic of China. It is believed responsible for counter-intelligence, foreign intelligence, political security and tied to industrial and cyber espionage efforts by China.

Dusting Off the ScanBox 

The campaign leverages the ScanBox framework. ScanBox is a customizable and multifunctional Javascript-based framework used by adversaries to conducting covert reconnaissance.

ScanBox has been used by adversaries for nearly a decade and is noteworthy because criminals can use the tool to conduct counter intelligence without having to plant malware on a targets system.

“ScanBox is particularly dangerous as it doesn’t require malware to be successfully deployed to disk in order to steal information – the keylogging functionality simply requires the JavaScript code to be executed by a web browser,” according to PwC researchers referring to a previous campaign.

In lieu of malware, attackers can use ScanBox in conjunction with watering hole attacks. Adversaries load the malicious JavaScript onto a compromised website where the ScanBox acts as a keylogger snagging all of a user’s typed activity on the infected watering hole website.

TA423’s attacks began with phishing emails, with such titles as “Sick Leave,” “User Research” and “Request Cooperation.” Often, the emails purported to come from an employee of the “Australian Morning News,” a fictional organization. The employee implored targets to visit their “humble news website,” australianmorningnews[.]com.

“Upon clicking the link and redirecting to the site, visitors were served the ScanBox framework,” researchers wrote.

The link directed targets to a web page with content copied from actual news sites, like the BBC and Sky News. In the process, it also delivered the ScanBox malware framework.

ScanBox keylogger data culled from waterholes is part of a multi-stage attack, giving attackers insight into the potential targets that will help them launch future attacks against them. This technique is often called browser fingerprinting.

The primary, initial script sources a list of information about the target computer, including the operating system, language and version of Adobe Flash installed. ScanBox additionally runs a check for browser extensions, plugins and components such WebRTC.

“The module implements WebRTC, a free and open-source technology supported on all major browsers, which allows web browsers and mobile applications to perform real-time communication (RTC) over application programming interfaces (APIs). This allows ScanBox to connect to a set of pre-configured targets,” researchers explain.

Adversaries can then leverage a technology called STUN (Session Traversal Utilities for NAT). This is a standardized set of methods, including a network protocol, that allows interactive communications (including real-time voice, video, and messaging applications) to traverse network address translator (NAT) gateways, researchers explain.

“STUN is supported by the WebRTC protocol. Through a third-party STUN server located on the Internet, it allows hosts to discover the presence of a NAT, and to discover the mapped IP address and port number that the NAT has allocated for the application’s User Datagram Protocol (UDP) flows to remote hosts. ScanBox implements NAT traversal using STUN servers as part of Interactive Connectivity Establishment (ICE), a peer-to-peer communication method used for clients to communicate as directly as possible, avoiding having to communicate through NATs, firewalls, or other solutions,” according to researchers.

“This means that the ScanBox module can set up ICE communications to STUN servers, and communicate with victim machines even if they are behind NAT,” they explain.

Threat Actors

The threat actors “support the Chinese government in matters related to the South China Sea, including during the recent tensions in Taiwan,” Sherrod DeGrippo, vice president of threat research and detection at Proofpoint, explained in a statement, “This group specifically wants to know who is active in the region and, while we can’t say for certain, their focus on naval issues is likely to remain a constant priority in places like Malaysia, Singapore, Taiwan, and Australia.”

The group has, in the past, expanded well beyond Australasia. According to a Department of Justice indictment from July, 2021, the group has “stolen trade secrets and confidential business information” from victims in “the United States, Austria, Cambodia, Canada, Germany, Indonesia, Malaysia, Norway, Saudi Arabia, South Africa, Switzerland and the United Kingdom. Targeted industries included, among others, aviation, defense, education, government, health care, biopharmaceutical and maritime.”

Despite the DoJ indictment, analysts “have not observed a distinct disruption of operational tempo” from TA423, and they “collectively expect TA423 / Red Ladon to continue pursuing its intelligence-gathering and espionage mission.”