攻擊者使用水坑攻擊來安裝ScanBox鍵盤記錄器

一個名為APT TA423的中國威脅行為者正在對南中國海的澳大利亞國內組織和海上能源公司進行水潭攻擊，以向受害者分發ScanBox偵察工具。

水坑攻擊是對特定組織的網路攻擊，其中惡意軟體安裝在組織成員定期訪問的網站上，以感染組織本身使用的計算機。

為了成功執行惡意活動，攻擊者使用ScanBox框架。ScanBox是一個可定製的多功能基於Javascript的框架，對手使用它來執行和轉換偵察操作。

來自「水坑」的ScanBox鍵盤記錄器數據是多級攻擊的一部分，該攻擊使攻擊者瞭解潛在目標，從而幫助他們對組織發起未來攻擊。

為了執行攻擊，攻擊者將惡意JavaScript上傳到受感染的網站，ScanBox充當鍵盤記錄器，在受感染的網站上捕獲所有使用者輸入的活動。

TA423通過網路釣魚電子郵件發起攻擊，這些電子郵件假裝來自虛構組織「澳大利亞晨報」的員工。

然後建議目標訪問他們的「謙虛的新聞網站」。。.com。一旦目標按兩下連結，他們就會被重定向到一個網站，該網站的內容是從實際新聞網站複製的，並且惡意軟體框架會洩露給他們。

ScanBox 鍵盤記錄器的主要初始腳本提供有關目標計算機的資訊清單，包括操作系統、語言和已安裝的 Adobe Flash 版本。ScanBox 還對瀏覽器擴展、外掛程式和元件（如 WebRTC）執行審核。

這篇文章的來源包括 ThreatPost上的一篇文章。