Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina. 

Ora Scanbox è framework non nuovo: è stato già utilizzato per quasi un decennio, ma rimane in ogni caso degno di nota per le sue capacità di personalizzazione e le molteplici funzioni a cui può essere delegato. Il software è particolarmente utile infatti per condurre ricognizioni segrete anche e non solo per la sua capacità di essere indipendente dall’installazione di malware su sistema di destinazione. Questo lo rende particolarmente pericoloso: non necessitando di installazione, le sue funzionalità di spionaggio (es. keylogging) richiedono semplicemente che il suo codice venga eseguito da un browser web, e per questo è sufficiente che questo raggiunga (navighi) su un sito che contenga il codice Scanbox. Per raggiungere questo scopo gli attaccanti possono utilizzare attacchi watering hole, compromettere un sito che le vittime utilizzeranno, e consentire così il posizionamento della loro rete di spionaggio. 

Quando Scanbox opera come keylogger, questo è capace di catturare tutte le attività di un utente sul sito Web infetto tramite i caratteri digitati, quindi può facilmente venire a conoscenza di informazioni riservate (comprese password, token, ecc). 

Le campagne osservate hanno mosso i primi passi da phishing provenienti da una immaginaria organizzazione australiana (Australian Morning News), sollecitando alla lettura di notizie (gli oggetti delle email sono stati qualcosa come Sick Leave", "User Research" e "Request Cooperation") e dunque dirottando verso il sito compromesso australianmorningnews[.]com, un sito con contenuti copiati da siti di notizie reali, come la BBC e Sky News. Raggiunto il sito, l’impianto, per così dire è avvenuto: Scanbox inizia la sua attività. In questa fase lo script principale di Scanbox è stato regolato per rilevare un elenco di informazioni sul computer di destinazione, inclusi il sistema operativo, la lingua e la versione di Adobe Flash installata e un controllo per estensioni del browser, plug-in e componenti come WebRTC. Questo “fingerprint del browser” è utile all’attore di minacce per eventuali fasi successive: in particolare la verifica della presenza di moduli WebRTC consente a Scanbox di predisporsi per la connessione diretta alla vittima (anche e non solo tramite tecnologia STUN, che consente di raggiungere dispositivi anche dietro un NAT, come nel caso di utenza casalinga). 

Le finalità del gruppo di minaccia sono quindi orientate alla raccolta di informazioni, allo spionaggio, insomma, ai danni di qualsiasi entità attiva nella regione del sud-est asiatico: l’interesse nelle attività (non solo commerciali) di Malesia, Singapore, Taiwan e Australia nonché delle questioni navali in quella regione sono l’obiettivo dell’attore di minaccia e della sua campagna mediante Scanbox.

Tweet