Os pesquisadores descobrem um ataque watering hole provavelmente realizado pelo APT TA423, que tenta implantar a ferramenta de reconhecimento baseada em JavaScript ScanBox.
Um ator de ameaça baseado na China intensificou os esforços para distribuir a estrutura de reconhecimento ScanBox às vítimas, que incluem organizações domésticas australianas e empresas de energia offshore no Mar da China Meridional. A isca usada pelo grupo de ameaças avançadas (APT) são mensagens direcionadas que supostamente direcionam para sites de notícias australianos.
Acredita-se que as campanhas de ciberespionagem tenham sido lançadas de abril de 2022 até meados de junho de 2022, de acordo com um Relatório de terça pela equipe de pesquisa de ameaças da Proofpoint e pela equipe de inteligência de ameaças da PwC.
Acredita-se que o ator da ameaça, segundo os pesquisadores, seja o APT TA423, com sede na China, também conhecido como Red Ladon. “A Proofpoint avalia com moderada confiança que esta atividade pode ser atribuída ao ator de ameaça TA423/Red Ladon, que múltiplo relatórios avaliar para operar na Ilha de Hainan, China”, de acordo com o relatório.
A APT é recentemente conhecida por uma acusação recente. “Uma acusação de 2021 do Departamento de Justiça dos EUA avaliou que TA423/Red Ladon fornece apoio de longa data ao Ministério de Segurança do Estado (MSS) da província de Hainan”, disseram os pesquisadores.
MSS é a agência civil de inteligência, segurança e polícia cibernética da República Popular da China. Acredita-se que seja responsável pela contra-inteligência, inteligência estrangeira, segurança política e esteja ligado aos esforços de espionagem industrial e cibernética da China.
Tirando a poeira do ScanBox
A campanha aproveita a estrutura ScanBox. ScanBox é uma estrutura personalizável e multifuncional baseada em Javascript usada por adversários para realizar reconhecimento secreto.
O ScanBox tem sido usado por adversários há quase uma década e é digno de nota porque os criminosos podem usar a ferramenta para conduzir contra-inteligência sem ter que plantar malware no sistema de um alvo.
“O ScanBox é particularmente perigoso porque não exige que o malware seja implantado com sucesso no disco para roubar informações – a funcionalidade de keylogging simplesmente requer que o código JavaScript seja executado por um navegador da web”, de acordo com pesquisadores da PwC referindo-se a uma campanha anterior.
Em vez de malware, os invasores podem usar o ScanBox em conjunto com ataques watering hole. Os adversários carregam o JavaScript malicioso em um site comprometido, onde o ScanBox atua como um keylogger, capturando todas as atividades digitadas pelo usuário no site infectado.
Os ataques do TA423 começaram com e-mails de phishing, com títulos como “Licença médica”, “Pesquisa de usuário” e “Solicitar cooperação”. Muitas vezes, os e-mails supostamente vinham de um funcionário do “Australian Morning News”, uma organização fictícia. O funcionário implorou aos alvos que visitassem seu “humilde site de notícias”, australianmorningnews[.]com.
“Ao clicar no link e redirecionar para o site, os visitantes receberam a estrutura ScanBox”, escreveram os pesquisadores.
O link direcionava os alvos para uma página da web com conteúdo copiado de sites de notícias reais, como a BBC e a Sky News. No processo, também entregou a estrutura de malware ScanBox.
Os dados do keylogger ScanBox coletados de poços de água fazem parte de um ataque em vários estágios, dando aos invasores uma visão sobre os alvos potenciais que os ajudarão a lançar ataques futuros contra eles. Essa técnica costuma ser chamada de impressão digital do navegador.
O script inicial primário fornece uma lista de informações sobre o computador de destino, incluindo o sistema operacional, o idioma e a versão do Adobe Flash instalado. O ScanBox também verifica extensões, plug-ins e componentes do navegador, como WebRTC.
“O módulo implementa WebRTC, uma tecnologia gratuita e de código aberto suportada em todos os principais navegadores, que permite que navegadores da web e aplicativos móveis realizem comunicação em tempo real (RTC) por meio de interfaces de programação de aplicativos (APIs). Isso permite que o ScanBox se conecte a um conjunto de alvos pré-configurados”, explicam os pesquisadores.
Os adversários podem então aproveitar uma tecnologia chamada ATORDOAR (Utilitários de passagem de sessão para NAT). Este é um conjunto padronizado de métodos, incluindo um protocolo de rede, que permite comunicações interativas (incluindo aplicativos de voz, vídeo e mensagens em tempo real) para atravessar gateways de tradução de endereços de rede (NAT), explicam os pesquisadores.
“STUN é compatível com o protocolo WebRTC. Através de um servidor STUN de terceiros localizado na Internet, ele permite que os hosts descubram a presença de um NAT e descubram o endereço IP mapeado e o número da porta que o NAT alocou para os fluxos do User Datagram Protocol (UDP) do aplicativo para dispositivos remotos. anfitriões. ScanBox implementa travessia NAT usando servidores STUN como parte de Estabelecimento de Conectividade Interativa (ICE), um método de comunicação peer-to-peer usado para que os clientes se comuniquem da forma mais direta possível, evitando a necessidade de se comunicar através de NATs, firewalls ou outras soluções”, afirmam os pesquisadores.
“Isso significa que o módulo ScanBox pode configurar comunicações ICE com servidores STUN e comunicar-se com as máquinas vítimas, mesmo que estejam atrás de NAT”, explicam.
Atores de ameaças
Os atores da ameaça “apoiam o governo chinês em questões relacionadas ao Mar da China Meridional, inclusive durante as recentes tensões em Taiwan”, explicou Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, em um comunicado: “Este grupo deseja especificamente sabemos quem está activo na região e, embora não possamos dizer com certeza, o seu foco em questões navais provavelmente continuará a ser uma prioridade constante em lugares como Malásia, Singapura, Taiwan e Austrália.”
O grupo expandiu-se, no passado, muito além da Australásia. De acordo com um Departamento de Justiça acusação desde julho de 2021, o grupo “roubou segredos comerciais e informações comerciais confidenciais” de vítimas “nos Estados Unidos, Áustria, Camboja, Canadá, Alemanha, Indonésia, Malásia, Noruega, Arábia Saudita, África do Sul, Suíça e Reino Unido . As indústrias visadas incluíam, entre outras, aviação, defesa, educação, governo, saúde, biofarmacêutica e marítima.”
Apesar da acusação do DoJ, os analistas “não observaram uma perturbação distinta do ritmo operacional” do TA423, e “esperam colectivamente que o TA423/Red Ladon continue a prosseguir a sua missão de recolha de informações e espionagem”.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Postagem de Ameaça
- VPN
- a segurança do website
- zefirnet
