Un attore di minacce con sede in Cina ha intensificato gli sforzi per distribuire il quadro di ricognizione ScanBox alle vittime che includono organizzazioni australiane nazionali e società energetiche offshore nel Mar Cinese Meridionale. L'esca utilizzata dal gruppo di minacce avanzate (APT) sono messaggi mirati che presumibilmente rimandano ai siti Web di notizie australiani.
Si ritiene che le campagne di cyber-spionaggio siano state lanciate da aprile 2022 a metà giugno 2022, secondo un rapporto di martedì del Threat Research Team di Proofpoint e del team Threat Intelligence di PwC.
L'attore della minaccia, secondo i ricercatori, si ritiene sia l'APT TA423 con sede in Cina, noto anche come Red Ladon. "Proofpoint valuta con moderata sicurezza che questa attività possa essere attribuibile all'attore della minaccia TA423 / Red Ladon, che più rapporti valutano per operare fuori dall'isola di Hainan, in Cina", secondo il rapporto.
L'APT è noto più di recente per una recente incriminazione. "Un atto d'accusa del 2021 da parte del Dipartimento di Giustizia degli Stati Uniti ha valutato che TA423 / Red Ladon fornisce supporto a lungo termine al Ministero della Sicurezza di Stato (MSS) della provincia di Hainan", hanno detto i ricercatori.
MSS è l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese. È ritenuto responsabile del controspionaggio, dell'intelligence straniera, della sicurezza politica e legato agli sforzi di spionaggio industriale e informatico da parte della Cina.
Rispolverare la ScanBox
La campagna sfrutta il framework ScanBox. ScanBox è un framework basato su Javascript personalizzabile e multifunzionale utilizzato dagli avversari per condurre ricognizioni segrete.
ScanBox è stato utilizzato dagli avversari per quasi un decennio ed è degno di nota perché i criminali possono utilizzare lo strumento per condurre controspionaggio senza dover piantare malware su un sistema di obiettivi.
"ScanBox è particolarmente pericoloso in quanto non richiede che il malware venga distribuito con successo su disco per rubare informazioni: la funzionalità di keylogging richiede semplicemente che il codice JavaScript venga eseguito da un browser Web", secondo i ricercatori di PwC riferendosi a una campagna precedente.
Al posto del malware, gli aggressori possono utilizzare ScanBox in combinazione con attacchi watering hole. Gli avversari caricano il JavaScript dannoso su un sito Web compromesso in cui ScanBox funge da keylogger che blocca tutta l'attività digitata di un utente sul sito Web dell'abbeveratoio infetto.
Gli attacchi di TA423 sono iniziati con e-mail di phishing, con titoli come "Congedo per malattia", "Ricerca utente" e "Richiedi cooperazione". Spesso, le e-mail pretendono di provenire da un dipendente dell'"Australian Morning News", un'organizzazione fittizia. Il dipendente ha implorato gli obiettivi di visitare il loro "umile sito web di notizie", australianmorningnews [.] Com.
"Dopo aver fatto clic sul collegamento e reindirizzato al sito, ai visitatori è stato servito il framework ScanBox", hanno scritto i ricercatori.
Il link indirizzava a una pagina web con contenuti copiati da siti di notizie reali, come la BBC e Sky News. Nel processo, ha anche fornito il framework malware ScanBox.
I dati del keylogger ScanBox estratti dalle pozze d'acqua fanno parte di un attacco a più fasi, che offre agli aggressori informazioni sui potenziali obiettivi che li aiuteranno a lanciare attacchi futuri contro di loro. Questa tecnica è spesso chiamata impronta digitale del browser.
Lo script iniziale primario genera un elenco di informazioni sul computer di destinazione, inclusi il sistema operativo, la lingua e la versione di Adobe Flash installato. ScanBox esegue inoltre un controllo per estensioni del browser, plug-in e componenti come WebRTC.
"Il modulo implementa WebRTC, una tecnologia gratuita e open source supportata su tutti i principali browser, che consente ai browser Web e alle applicazioni mobili di eseguire comunicazioni in tempo reale (RTC) su interfacce di programmazione delle applicazioni (API). Ciò consente a ScanBox di connettersi a una serie di target preconfigurati", spiegano i ricercatori.
Gli avversari possono quindi sfruttare una tecnologia chiamata STUN (Session Traversal Utilities for NAT). Si tratta di un insieme standardizzato di metodi, tra cui un protocollo di rete, che consente comunicazioni interattive (comprese le applicazioni vocali, video e di messaggistica in tempo reale) per attraversare i gateway NAT (Network Address Translator), spiegano i ricercatori.
"STUN è supportato dal protocollo WebRTC. Attraverso un server STUN di terze parti situato su Internet, consente agli host di scoprire la presenza di un NAT e di scoprire l'indirizzo IP mappato e il numero di porta che il NAT ha allocato per i flussi UDP (User Datagram Protocol) dell'applicazione agli host remoti. ScanBox implementa l'attraversamento NAT utilizzando i server STUN come parte di Interactive Connectivity Establishment (ICE), un metodo di comunicazione peer-to-peer utilizzato dai client per comunicare nel modo più diretto possibile, evitando di dover comunicare attraverso NAT, firewall o altre soluzioni", secondo i ricercatori.
"Ciò significa che il modulo ScanBox può impostare le comunicazioni ICE con i server STUN e comunicare con le macchine vittime anche se sono dietro NAT", spiegano.
Attori delle minacce
Gli attori della minaccia "sostengono il governo cinese in questioni relative al Mar Cinese Meridionale, anche durante le recenti tensioni a Taiwan", sherrod DeGrippo, vicepresidente della ricerca e del rilevamento delle minacce presso Proofpoint, ha spiegato in una dichiarazione: "Questo gruppo vuole specificamente sapere chi è attivo nella regione e, anche se non possiamo dirlo con certezza, è probabile che la loro attenzione alle questioni navali rimanga una priorità costante in luoghi come Malesia, Singapore, Taiwan e Australia".
Il gruppo si è, in passato, espanso ben oltre l'Australasia. Secondo un atto d'accusa del Dipartimento di Giustizia del luglio 2021, il gruppo ha "rubato segreti commerciali e informazioni commerciali riservate" alle vittime in "Stati Uniti, Austria, Cambogia, Canada, Germania, Indonesia, Malesia, Norvegia, Arabia Saudita, Sud Africa, Svizzera e Regno Unito. Le industrie prese di mira includevano, tra gli altri, l'aviazione, la difesa, l'istruzione, il governo, l'assistenza sanitaria, il biofarmaceutico e marittimo.
Nonostante l'accusa del DoJ, gli analisti "non hanno osservato una distinta interruzione del tempo operativo" da TA423 e "si aspettano collettivamente che TA423 / Red Ladon continui a perseguire la sua missione di raccolta di informazioni e spionaggio".