I ricercatori scoprono un attacco Watering Hole probabilmente effettuato da APT TA423, che tenta di installare lo strumento di ricognizione basato su JavaScript ScanBox.
Un gruppo criminale con sede in Cina ha intensificato gli sforzi per distribuire il sistema di ricognizione ScanBox alle vittime che includono organizzazioni nazionali australiane e società energetiche offshore nel Mar Cinese Meridionale. L’esca utilizzata dall’Advanced Threat Group (APT) sono messaggi mirati che presumibilmente rimandano a siti Web di notizie australiani.
Si ritiene che le campagne di spionaggio informatico siano state lanciate tra aprile 2022 e metà giugno 2022, secondo un Rapporto del martedì dal Threat Research Team di Proofpoint e dal Threat Intelligence team di PwC.
Secondo i ricercatori, l’autore della minaccia sarebbe l’APT TA423 con sede in Cina, noto anche come Red Ladon. "Proofpoint valuta con moderata certezza che questa attività possa essere attribuibile all'autore della minaccia TA423 / Red Ladon, che multiplo rapporti valutare per operare dall’isola di Hainan, in Cina”, secondo il rapporto.
L'APT è recentemente nota per un recente atto d'accusa. "Un atto d'accusa del 2021 da parte del Dipartimento di Giustizia degli Stati Uniti ha valutato che TA423 / Red Ladon fornisce supporto a lungo termine al Ministero della Sicurezza di Stato (MSS) della provincia di Hainan", hanno affermato i ricercatori.
MSS è l'agenzia di intelligence civile, sicurezza e polizia informatica della Repubblica popolare cinese. È ritenuto responsabile del controspionaggio, dell’intelligence straniera, della sicurezza politica e legato agli sforzi di spionaggio industriale e informatico da parte della Cina.
Spolverare lo ScanBox
La campagna sfrutta il framework ScanBox. ScanBox è un framework personalizzabile e multifunzionale basato su Javascript utilizzato dagli avversari per condurre ricognizioni segrete.
ScanBox è stato utilizzato dagli avversari per quasi un decennio ed è degno di nota perché i criminali possono utilizzare lo strumento per condurre operazioni di controspionaggio senza dover installare malware su un sistema preso di mira.
"ScanBox è particolarmente pericoloso in quanto non richiede che il malware venga distribuito con successo sul disco per rubare informazioni: la funzionalità di keylogging richiede semplicemente che il codice JavaScript venga eseguito da un browser web", secondo i ricercatori di PwC riferito ad una campagna precedente.
Al posto del malware, gli aggressori possono utilizzare ScanBox insieme agli attacchi Watering Hole. Gli aggressori caricano il JavaScript dannoso su un sito Web compromesso dove ScanBox agisce come un keylogger catturando tutta l'attività digitata da un utente sul sito Web Watering Hole infetto.
Gli attacchi di TA423 sono iniziati con e-mail di phishing, con titoli come "Congedo per malattia", "Ricerca utente" e "Richiesta di cooperazione". Spesso le e-mail sembravano provenire da un dipendente dell'"Australian Morning News", un'organizzazione fittizia. Il dipendente ha implorato gli obiettivi di visitare il loro "umile sito di notizie", australianmorningnews[.]com.
"Dopo aver fatto clic sul collegamento e reindirizzato al sito, ai visitatori veniva servito il framework ScanBox", hanno scritto i ricercatori.
Il collegamento indirizzava gli obiettivi a una pagina Web con contenuti copiati da siti di notizie reali, come BBC e Sky News. Nel processo, ha anche fornito il framework malware ScanBox.
I dati del keylogger ScanBox raccolti dalle pozze d'acqua fanno parte di un attacco in più fasi, fornendo agli aggressori informazioni sui potenziali obiettivi che li aiuteranno a lanciare futuri attacchi contro di loro. Questa tecnica è spesso chiamata rilevamento delle impronte digitali del browser.
Lo script iniziale primario fornisce un elenco di informazioni sul computer di destinazione, incluso il sistema operativo, la lingua e la versione di Adobe Flash installata. ScanBox esegue inoltre un controllo per estensioni del browser, plug-in e componenti come WebRTC.
“Il modulo implementa WebRTC, una tecnologia gratuita e open source supportata su tutti i principali browser, che consente ai browser Web e alle applicazioni mobili di eseguire comunicazioni in tempo reale (RTC) sulle interfacce di programmazione delle applicazioni (API). Ciò consente a ScanBox di connettersi a una serie di obiettivi preconfigurati”, spiegano i ricercatori.
Gli avversari possono quindi sfruttare una tecnologia chiamata STORDIRE (Utilità di attraversamento sessione per NAT). Si tratta di un insieme standardizzato di metodi, incluso un protocollo di rete, che consente alle comunicazioni interattive (comprese applicazioni vocali, video e di messaggistica in tempo reale) di attraversare i gateway NAT (Network Address Translator), spiegano i ricercatori.
“STUN è supportato dal protocollo WebRTC. Attraverso un server STUN di terze parti situato su Internet, consente agli host di scoprire la presenza di un NAT e di scoprire l'indirizzo IP mappato e il numero di porta che il NAT ha assegnato per i flussi UDP (User Datagram Protocol) dell'applicazione verso il server remoto ospiti. ScanBox implementa l'attraversamento NAT utilizzando i server STUN come parte di Creazione di connettività interattiva (ICE), un metodo di comunicazione peer-to-peer utilizzato dai clienti per comunicare nel modo più diretto possibile, evitando di dover comunicare attraverso NAT, firewall o altre soluzioni", secondo i ricercatori.
"Ciò significa che il modulo ScanBox può impostare comunicazioni ICE con i server STUN e comunicare con le macchine vittime anche se si trovano dietro NAT", spiegano.
Attori di minaccia
Gli autori delle minacce "sostenevano il governo cinese nelle questioni relative al Mar Cinese Meridionale, anche durante le recenti tensioni a Taiwan", ha spiegato in una dichiarazione Sherrod DeGrippo, vicepresidente della ricerca e rilevamento delle minacce presso Proofpoint, "Questo gruppo vuole specificamente sappiamo chi è attivo nella regione e, anche se non possiamo dirlo con certezza, la loro attenzione alle questioni navali rimarrà probabilmente una priorità costante in luoghi come Malesia, Singapore, Taiwan e Australia”.
In passato il gruppo si è espanso ben oltre l’Australasia. Secondo un Dipartimento di Giustizia accusa da luglio 2021, il gruppo ha “rubato segreti commerciali e informazioni commerciali riservate” a vittime negli “Stati Uniti, Austria, Cambogia, Canada, Germania, Indonesia, Malesia, Norvegia, Arabia Saudita, Sud Africa, Svizzera e Regno Unito . Le industrie interessate includevano, tra le altre, l’aviazione, la difesa, l’istruzione, il governo, l’assistenza sanitaria, la biofarmaceutica e la marittima”.
Nonostante l’accusa del DoJ, gli analisti “non hanno osservato una netta interruzione del ritmo operativo” da parte del TA423 e “si aspettano collettivamente che TA423/Red Ladon continui a perseguire la sua missione di raccolta di informazioni e spionaggio”.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Messaggio di minaccia
- VPN
- sicurezza del sito Web
- zefiro
