ClickCease 공격자가 워터링 홀 공격을 사용하여 스캔박스 키로거 설치 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

공격자는 워터링홀 공격을 사용하여 ScanBox 키로거를 설치합니다.

2022년 9월 21일 TuxCare 홍보팀

중국에 기반을 둔 APT TA423이라는 위협 행위자가 호주 국내 기관과 남중국해의 해양 에너지 회사를 대상으로 워터홀 공격을 수행하여 피해자에게 스캔박스 정찰 도구를 배포하고 있습니다.

워터홀 공격은 특정 조직에 대한 사이버 공격으로, 조직 구성원이 정기적으로 방문하는 웹사이트에 멀웨어를 설치하여 조직 내에서 사용하는 컴퓨터를 감염시킵니다.

공격자는 악의적인 활동을 성공적으로 수행하기 위해 ScanBox 프레임워크를 사용합니다. ScanBox는 공격자가 정찰 작업을 수행하고 변환하는 데 사용하는 사용자 정의 가능한 다기능 자바스크립트 기반 프레임워크입니다.

"워터홀"에서 수집된 ScanBox 키로거 데이터는 공격자가 향후 조직을 공격하는 데 도움이 되는 잠재적 표적에 대한 지식을 제공하는 다단계 공격의 일부입니다.

공격을 실행하기 위해 공격자는 감염된 웹사이트에 악성 자바스크립트를 업로드하고, 스캔박스가 키로거 역할을 하여 감염된 웹사이트에서 사용자가 입력한 모든 활동을 캡처합니다.

TA423은 가상의 조직인 '호주 모닝 뉴스' 직원이 보낸 것처럼 가장한 피싱 이메일을 통해 공격을 시작합니다.

그런 다음 표적은 "겸손한 뉴스 웹 사이트"를 방문하도록 유도합니다. 표적이 링크를 클릭하자마자 실제 뉴스 웹사이트의 콘텐츠를 복사한 웹사이트로 리디렉션되고 멀웨어 프레임워크가 유출됩니다.

ScanBox 키로거의 기본 초기 스크립트는 운영 체제, 언어, 설치된 Adobe Flash 버전 등 대상 컴퓨터에 대한 정보 목록을 제공합니다. 또한 ScanBox는 브라우저 확장 프로그램, 플러그인 및 WebRTC와 같은 구성 요소에 대한 감사를 수행합니다.

이 글의 출처는 ThreatPost의 기사입니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기