Un actor de amenazas con sede en China ha intensificado los esfuerzos para distribuir el marco de reconocimiento ScanBox a las víctimas que incluyen organizaciones australianas nacionales y empresas de energía en alta mar en el Mar del Sur de China. El cebo utilizado por el grupo de amenazas avanzadas (APT) son los mensajes dirigidos que supuestamente se vinculan a sitios web de noticias australianos.
Se cree que las campañas de ciberespionaje se lanzaron desde abril de 2022 hasta mediados de junio de 2022, según un informe del martes del Equipo de Investigación de Amenazas de Proofpoint y el Equipo de Inteligencia de Amenazas de PwC.
Se cree que el actor de la amenaza, según los investigadores, es el APT TA423 con sede en China, también conocido como Red Ladon. "Proofpoint evalúa con moderada confianza que esta actividad puede ser atribuible al actor de amenazas TA423 / Red Ladon, que múltiples informesevalúan para operar desde la isla de Hainan, China", según el informe.
La APT es conocida más recientemente por una acusación reciente. "Una acusación de 2021 del Departamento de Justicia de los Estados Unidos evaluó que TA423 / Red Ladon brinda apoyo a largo plazo al Ministerio de Seguridad del Estado (MSS) de la provincia de Hainan", dijeron los investigadores.
MSS es la agencia civil de inteligencia, seguridad y policía cibernética de la República Popular China. Se cree que es responsable de la contrainteligencia, la inteligencia extranjera, la seguridad política y está vinculado a los esfuerzos de espionaje industrial y cibernético de China.
Desempolvando el ScanBox
La campaña aprovecha el marco de ScanBox. ScanBox es un marco personalizable y multifuncional basado en Javascript utilizado por los adversarios para realizar reconocimientos encubiertos.
ScanBox ha sido utilizado por los adversarios durante casi una década y es digno de mención porque los delincuentes pueden usar la herramienta para realizar contrainteligencia sin tener que plantar malware en un sistema de objetivos.
"ScanBox es particularmente peligroso, ya que no requiere que el malware se implemente con éxito en el disco para robar información: la funcionalidad de registro de teclas simplemente requiere que el código JavaScript sea ejecutado por un navegador web", según los investigadores de PwC que se refieren a una campaña anterior.
En lugar de malware, los atacantes pueden usar ScanBox junto con ataques de abrevadero. Los adversarios cargan el JavaScript malicioso en un sitio web comprometido donde scanBox actúa como un keylogger que atrapa toda la actividad escrita por un usuario en el sitio web del abrevadero infectado.
Los ataques de TA423 comenzaron con correos electrónicos de phishing, con títulos como "Licencia por enfermedad", "Investigación de usuarios" y "Solicitar cooperación". A menudo, los correos electrónicos pretendían provenir de un empleado del "Australian Morning News", una organización ficticia. El empleado imploró a los objetivos que visitaran su "humilde sitio web de noticias", australianmorningnews[ COM.
"Al hacer clic en el enlace y redirigir al sitio, los visitantes recibieron el marco de ScanBox", escribieron los investigadores.
El enlace se dirige a una página web con contenido copiado de sitios de noticias reales, como la BBC y Sky News. En el proceso, también entregó el marco de malware ScanBox.
Los datos del keylogger ScanBox extraídos de los pozos de agua son parte de un ataque de varias etapas, lo que brinda a los atacantes una idea de los objetivos potenciales que les ayudarán a lanzar futuros ataques contra ellos. Esta técnica a menudo se llama huellas dactilares del navegador.
El script inicial principal obtiene una lista de información sobre el equipo de destino, incluido el sistema operativo, el idioma y la versión de Adobe Flash instalado. ScanBox también ejecuta una comprobación de extensiones de navegador, complementos y componentes como WebRTC.
"El módulo implementa WebRTC, una tecnología gratuita y de código abierto compatible con todos los principales navegadores, que permite a los navegadores web y aplicaciones móviles realizar comunicaciones en tiempo real (RTC) a través de interfaces de programación de aplicaciones (API). Esto permite que ScanBox se conecte a un conjunto de objetivos preconfigurados", explican los investigadores.
Los adversarios pueden aprovechar una tecnología llamada STUN (Session Traversal Utilities for NAT). Este es un conjunto estandarizado de métodos, incluido un protocolo de red, que permite que las comunicaciones interactivas (incluidas las aplicaciones de voz, video y mensajería en tiempo real) atraviesen las puertas de enlace del traductor de direcciones de red (NAT), explican los investigadores.
"STUN es compatible con el protocolo WebRTC. A través de un servidor STUN de terceros ubicado en Internet, permite a los hosts descubrir la presencia de una NAT y descubrir la dirección IP asignada y el número de puerto que la NAT ha asignado para los flujos de Protocolo de datagramas de usuario (UDP) de la aplicación a hosts remotos. ScanBox implementa NAT traversal utilizando servidores STUN como parte de Interactive Connectivity Establishment (ICE), un método de comunicación peer-to-peer utilizado para que los clientes se comuniquen lo más directamente posible, evitando tener que comunicarse a través de NATs, firewalls u otras soluciones", según los investigadores.
"Esto significa que el módulo ScanBox puede configurar las comunicaciones ICE con los servidores STUN y comunicarse con las máquinas víctimas, incluso si están detrás de NAT", explican.
Actores de amenazas
Los actores de amenazas "apoyan al gobierno chino en asuntos relacionados con el Mar Meridional de China, incluso durante las recientes tensiones en Taiwán", explicó Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint, en un comunicado: "Este grupo específicamente quiere saber quién está activo en la región y, aunque no podemos decirlo con certeza, es probable que su enfoque en los problemas navales siga siendo una prioridad constante en lugares como Malasia, Singapur, Taiwán y Australia".
El grupo, en el pasado, se ha expandido mucho más allá de Australasia. Según una acusación del Departamento de Justicia de julio de 2021, el grupo ha "robado secretos comerciales e información comercial confidencial" de víctimas en "Estados Unidos, Austria, Camboya, Canadá, Alemania, Indonesia, Malasia, Noruega, Arabia Saudita, Sudáfrica, Suiza y el Reino Unido. Las industrias objetivo incluyeron, entre otras, aviación, defensa, educación, gobierno, atención médica, biofarmacéutica y marítima".
A pesar de la acusación del Departamento de Justicia, los analistas "no han observado una interrupción clara del tempo operativo" de TA423, y "colectivamente esperan que TA423 / Red Ladon continúe persiguiendo su misión de recopilación de inteligencia y espionaje".