Un actor de amenazas con sede en China ha intensificado los esfuerzos para distribuir el marco de reconocimiento ScanBox a las víctimas que incluyen organizaciones australianas nacionales y empresas de energía en alta mar en el Mar de China Meridional. El cebo utilizado por el grupo de amenazas avanzadas (APT) son mensajes dirigidos que supuestamente enlazan con sitios web de noticias australianos.

Se cree que las campañas de ciberespionaje se lanzaron desde abril de 2022 hasta mediados de junio de 2022, según un Informe del martes por el Equipo de Investigación de Amenazas de Proofpoint y el equipo de Inteligencia de Amenazas de PwC.

Se cree que el actor de la amenaza, según los investigadores, es el APT TA423 con sede en China, también conocido como Red Ladon. “Proofpoint evalúa con confianza moderada que esta actividad puede atribuirse al actor de amenazas TA423/Red Ladon, que múltiples informes evaluar para operar desde la isla de Hainan, China”, según el informe.

La APT es conocida más recientemente por una acusación reciente. “Una acusación de 2021 del Departamento de Justicia de EE. UU. evaluó que TA423 / Red Ladon brinda apoyo de larga duración al Ministerio de Seguridad del Estado (MSS) de la provincia de Hainan”, dijeron los investigadores.

MSS es la agencia civil de inteligencia, seguridad y policía cibernética de la República Popular China. Se cree que es responsable de la contrainteligencia, la inteligencia extranjera, la seguridad política y está vinculado a los esfuerzos de espionaje industrial y cibernético de China.

Desempolvando el ScanBox 

La campaña aprovecha el marco ScanBox. ScanBox es un marco basado en Javascript personalizable y multifuncional que utilizan los adversarios para realizar reconocimientos encubiertos.

Los adversarios han utilizado ScanBox durante casi una década y es digno de mención porque los delincuentes pueden usar la herramienta para realizar contrainteligencia sin tener que plantar malware en un sistema objetivo.

“ScanBox es particularmente peligroso ya que no requiere que el malware se implemente con éxito en el disco para robar información; la funcionalidad de registro de teclas simplemente requiere que el código JavaScript sea ejecutado por un navegador web”, según los investigadores de PwC. haciendo referencia a una campaña anterior.

En lugar de malware, los atacantes pueden usar ScanBox junto con ataques de abrevadero. Los adversarios cargan el JavaScript malicioso en un sitio web comprometido donde ScanBox actúa como un registrador de teclas que captura toda la actividad escrita de un usuario en el sitio web del abrevadero infectado.

Los ataques de TA423 comenzaron con correos electrónicos de phishing, con títulos como "Baja por enfermedad", "Investigación de usuarios" y "Solicitud de cooperación". A menudo, los correos electrónicos pretendían provenir de un empleado de “Australian Morning News”, una organización ficticia. El empleado imploró a los objetivos que visitaran su "humilde sitio web de noticias", australianmorningnews[.]com.

“Al hacer clic en el enlace y redirigir al sitio, los visitantes recibieron el marco ScanBox”, escribieron los investigadores.

El enlace dirigía a los objetivos a una página web con contenido copiado de sitios de noticias reales, como BBC y Sky News. En el proceso, también entregó el marco de malware ScanBox.

Los datos del registrador de teclas ScanBox extraídos de los pozos de agua son parte de un ataque de varias etapas, lo que brinda a los atacantes información sobre los objetivos potenciales que los ayudarán a lanzar futuros ataques contra ellos. Esta técnica a menudo se llama huellas dactilares del navegador.

El script inicial principal obtiene una lista de información sobre la computadora de destino, incluido el sistema operativo, el idioma y la versión de Adobe Flash instalada. ScanBox también ejecuta una verificación de extensiones, complementos y componentes del navegador, como WebRTC.

“El módulo implementa WebRTC, una tecnología gratuita y de código abierto compatible con todos los principales navegadores, que permite que los navegadores web y las aplicaciones móviles realicen comunicaciones en tiempo real (RTC) a través de interfaces de programación de aplicaciones (API). Esto permite que ScanBox se conecte a un conjunto de objetivos preconfigurados”, explican los investigadores.

Los adversarios pueden entonces aprovechar una tecnología llamada ATURDIR (Utilidades de cruce de sesión para NAT). Este es un conjunto estandarizado de métodos, incluido un protocolo de red, que permite comunicaciones interactivas (incluidas aplicaciones de voz, video y mensajería en tiempo real) para atravesar puertas de enlace de traducción de direcciones de red (NAT), explican los investigadores.

“STUN es compatible con el protocolo WebRTC. A través de un servidor STUN de terceros ubicado en Internet, permite que los hosts descubran la presencia de un NAT y descubran la dirección IP asignada y el número de puerto que el NAT ha asignado para los flujos del Protocolo de datagramas de usuario (UDP) de la aplicación a los flujos remotos. Hospedadores. ScanBox implementa NAT transversal utilizando servidores STUN como parte de Establecimiento de conectividad interactiva (ICE), un método de comunicación peer-to-peer utilizado para que los clientes se comuniquen lo más directamente posible, evitando tener que comunicarse a través de NAT, firewalls u otras soluciones”, según los investigadores.

“Esto significa que el módulo ScanBox puede configurar comunicaciones ICE con servidores STUN y comunicarse con las máquinas de las víctimas incluso si están detrás de NAT”, explican.

Actores de amenazas

Los actores de amenazas “apoyan al gobierno chino en asuntos relacionados con el Mar de China Meridional, incluso durante las recientes tensiones en Taiwán”, explicó Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, en un comunicado, “Este grupo quiere específicamente sabemos quién está activo en la región y, aunque no podemos decirlo con certeza, es probable que su enfoque en los problemas navales siga siendo una prioridad constante en lugares como Malasia, Singapur, Taiwán y Australia”.

En el pasado, el grupo se ha expandido mucho más allá de Australasia. Según un Departamento de Justicia acusación desde julio de 2021, el grupo ha “robado secretos comerciales e información comercial confidencial” de víctimas en “Estados Unidos, Austria, Camboya, Canadá, Alemania, Indonesia, Malasia, Noruega, Arabia Saudita, Sudáfrica, Suiza y el Reino Unido . Las industrias objetivo incluyeron, entre otras, aviación, defensa, educación, gobierno, atención médica, biofarmacéutica y marítima”.

A pesar de la acusación del Departamento de Justicia, los analistas "no han observado una interrupción clara del ritmo operativo" de TA423, y "colectivamente esperan que TA423 / Red Ladon continúe con su misión de recopilación de inteligencia y espionaje".