공격자는 워터링홀 공격을 사용하여 ScanBox 키로거를 설치합니다.

중국에 기반을 둔 APT TA423이라는 위협 행위자가 호주 국내 기관과 남중국해의 해양 에너지 회사를 대상으로 워터홀 공격을 수행하여 피해자에게 스캔박스 정찰 도구를 배포하고 있습니다.

워터홀 공격은 특정 조직에 대한 사이버 공격으로, 조직 구성원이 정기적으로 방문하는 웹사이트에 멀웨어를 설치하여 조직 내에서 사용하는 컴퓨터를 감염시킵니다.

공격자는 악의적인 활동을 성공적으로 수행하기 위해 ScanBox 프레임워크를 사용합니다. ScanBox는 공격자가 정찰 작업을 수행하고 변환하는 데 사용하는 사용자 정의 가능한 다기능 자바스크립트 기반 프레임워크입니다.

"워터홀"에서 수집된 ScanBox 키로거 데이터는 공격자가 향후 조직을 공격하는 데 도움이 되는 잠재적 표적에 대한 지식을 제공하는 다단계 공격의 일부입니다.

공격을 실행하기 위해 공격자는 감염된 웹사이트에 악성 자바스크립트를 업로드하고, 스캔박스가 키로거 역할을 하여 감염된 웹사이트에서 사용자가 입력한 모든 활동을 캡처합니다.

TA423은 가상의 조직인 '호주 모닝 뉴스' 직원이 보낸 것처럼 가장한 피싱 이메일을 통해 공격을 시작합니다.

그런 다음 표적은 "겸손한 뉴스 웹 사이트"를 방문하도록 유도합니다. 표적이 링크를 클릭하자마자 실제 뉴스 웹사이트의 콘텐츠를 복사한 웹사이트로 리디렉션되고 멀웨어 프레임워크가 유출됩니다.

ScanBox 키로거의 기본 초기 스크립트는 운영 체제, 언어, 설치된 Adobe Flash 버전 등 대상 컴퓨터에 대한 정보 목록을 제공합니다. 또한 ScanBox는 브라우저 확장 프로그램, 플러그인 및 WebRTC와 같은 구성 요소에 대한 감사를 수행합니다.

이 글의 출처는 ThreatPost의 기사입니다.