Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Angreifer nutzen Watering Hole-Angriffe zur Installation von ScanBox Keylogger
Obanla Opeyemi
21. September 2022. TuxCare-Expertenteam
Ein in China ansässiger Bedrohungsakteur mit der Bezeichnung APT TA423 führt Wasserlochangriffe auf inländische australische Organisationen und Offshore-Energieunternehmen im Südchinesischen Meer durch, um das ScanBox-Aufklärungstool an die Opfer zu verteilen.
Ein Wasserlochangriff ist ein Cyberangriff auf eine bestimmte Organisation, bei dem Malware auf einer Website installiert wird, die regelmäßig von Mitgliedern der Organisation besucht wird, um Computer zu infizieren, die innerhalb der Organisation selbst verwendet werden.
Um ihre bösartigen Aktivitäten erfolgreich durchführen zu können, nutzen die Angreifer das ScanBox-Framework. ScanBox ist ein anpassbares und multifunktionales Javascript-basiertes Framework, das von Angreifern zur Durchführung und Umwandlung von Aufklärungsoperationen verwendet wird.
ScanBox-Keylogger-Daten aus "Wasserlöchern" sind Teil eines mehrstufigen Angriffs, der Angreifern Kenntnisse über potenzielle Ziele verschafft, die ihnen helfen, künftige Angriffe auf Unternehmen zu starten.
Um einen Angriff auszuführen, laden die Angreifer das bösartige JavaScript auf eine kompromittierte Website hoch, wo die ScanBox als Keylogger fungiert und alle vom Benutzer auf der infizierten Website eingegebenen Aktivitäten aufzeichnet.
TA423 startet seine Angriffe mit Phishing-E-Mails, die vorgeben, von einem Mitarbeiter der "Australian Morning News" zu stammen, einer fiktiven Organisation.
Die Zielpersonen werden dann aufgefordert, ihre "bescheidene Nachrichten-Website" australianmorningnews[.]com zu besuchen. Sobald die Zielperson auf den Link klickt, wird sie auf eine Website umgeleitet, deren Inhalt von tatsächlichen Nachrichten-Websites kopiert wurde, und das Malware-Framework wird ihr zugespielt.
Das anfängliche Skript eines ScanBox Keyloggers liefert eine Liste von Informationen über den Zielcomputer, einschließlich Betriebssystem, Sprache und installierter Version von Adobe Flash. ScanBox führt auch eine Prüfung für Browser-Erweiterungen, Plugins und Komponenten wie WebRTC durch.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ThreatPost.
