Sulama Deliği Saldırılarıyla Yayılan ScanBox Keylogger: APT TA423 Tehdidi Yazılım

Sulama Deliği Saldırılarıyla Yayılan ScanBox Keylogger: APT TA423 Tehdidi

Çin merkezli APT TA423, Avustralya ve Güney Çin Denizi'ndeki enerji firmalarını hedef alan sulama deliği saldırılarıyla ScanBox keylogger'ı dağıtıyor.

Güvenlik araştırmacıları, Çin merkezli bir tehdit aktörünün APT TA423 (Red Ladon olarak da bilinir) tarafından gerçekleştirildiği düşünülen bir sulama deliği saldırısını ortaya çıkardı. Saldırı, JavaScript tabanlı ScanBox keşif aracını kurbanlara bulaştırmayı hedefliyor. Proofpoint ve PwC'nin ortak raporuna göre, kampanya Nisan 2022'den Haziran 2022 ortasına kadar sürdü ve özellikle Avustralya'daki yerel kuruluşlar ile Güney Çin Denizi'ndeki deniz enerji firmalarını hedef aldı.

Saldırganlar, hedeflere Avustralya haber sitelerine yönlendiren oltalama e-postaları gönderdi. E-postalar, 'Hastalık İzni', 'Kullanıcı Araştırması' ve 'İşbirliği Talebi' gibi başlıklar taşıyor ve genellikle kurgusal bir 'Australian Morning News' çalışanından geliyormuş gibi görünüyordu. Kurbanlar, australianmorningnews[.]com adresindeki sahte haber sitesine yönlendirildiğinde, ScanBox çerçevesi yükleniyor ve tarayıcıda çalışmaya başlıyordu.

ScanBox, neredeyse on yıldır kullanılan özelleştirilebilir ve çok işlevli bir JavaScript çerçevesidir. En tehlikeli özelliği, hedef sistemde disk üzerinde kötü amaçlı yazılım bulunmasını gerektirmemesidir. Bunun yerine, sulama deliği saldırılarıyla web tarayıcısında çalışan JavaScript kodu ile tuş vuruşlarını kaydeden bir keylogger işlevi görür. Ayrıca, tarayıcı parmak izi alma (fingerprinting) yöntemiyle işletim sistemi, dil, Adobe Flash sürümü, tarayıcı eklentileri ve WebRTC gibi bileşenler hakkında bilgi toplar.

Sistem Güvenliği

WebRTC desteği sayesinde ScanBox, STUN (Session Traversal Utilities for NAT) sunucuları üzerinden NAT arkasındaki hedef makinelerle bile doğrudan iletişim kurabilir. Bu, saldırganların hedef ağın yapısını keşfetmesine ve ileride daha karmaşık saldırılar için zemin hazırlamasına olanak tanır. Proofpoint tehdit araştırma başkan yardımcısı Sherrod DeGrippo, grubun özellikle Güney Çin Denizi ve Tayvan çevresindeki gerilimlerle ilgili olarak Çin hükümetini desteklediğini ve denizcilik konularına odaklandığını belirtti.

Paylaş: