Siber güvenlik araştırmacıları, Çin merkezli bir tehdit aktörünün (APT TA423 / Red Ladon) Avustralya'daki kuruluşlar ve Güney Çin Denizi'ndeki açık deniz enerji firmalarını hedef alan bir sulama deliği saldırısı kampanyası yürüttüğünü ortaya çıkardı. Proofpoint ve PwC'nin ortak raporuna göre, Nisan 2022'den Haziran 2022 ortasına kadar süren kampanyada, sahte Avustralya haber sitelerine yönlendiren oltalama e-postaları kullanıldı. Saldırganlar, 'Hastalık İzni', 'Kullanıcı Araştırması' ve 'İşbirliği Talebi' gibi başlıklarla gönderilen e-postalarda, kurbanları 'australianmorningnews[.]com' adlı hayali bir siteye yönlendirdi.
Saldırıda kullanılan ScanBox, neredeyse on yıldır kullanılan, JavaScript tabanlı, özelleştirilebilir ve çok işlevli bir keşif çerçevesidir. Bu araç, kötü amaçlı yazılım yüklemeye gerek kalmadan hedef sistemlerden bilgi toplamayı sağlar. ScanBox, sulama deliği saldırılarıyla birleştiğinde, kullanıcıların klavye girişlerini kaydeden bir keylogger işlevi görür. Saldırganlar, güvenliği ihlal edilmiş web sitelerine bu JavaScript kodunu yerleştirerek, siteyi ziyaret eden kullanıcıların tüm yazma aktivitelerini izler.
ScanBox'ın ilk aşaması, hedef bilgisayar hakkında işletim sistemi, dil ve Adobe Flash sürümü gibi bilgileri toplar. Ardından, tarayıcı uzantıları, eklentiler ve WebRTC gibi bileşenleri kontrol eder. WebRTC desteği sayesinde ScanBox, STUN sunucuları üzerinden NAT arkasındaki cihazlarla bile iletişim kurabilir. Bu teknik, saldırganların hedef makinelerle doğrudan bağlantı kurmasına olanak tanır ve güvenlik duvarlarını aşar. Toplanan veriler, çok aşamalı saldırının ilk adımı olarak kullanılır ve saldırganlara hedefler hakkında detaylı bilgi sağlar.
APT TA423, daha önce ABD Adalet Bakanlığı tarafından 2021'de Hainan Eyaleti Devlet Güvenlik Bakanlığı'na destek vermekle suçlanmıştı. Proofpoint tehdit araştırma başkan yardımcısı Sherrod DeGrippo, grubun Güney Çin Denizi ve Tayvan'daki gerginliklerle ilgili olarak Çin hükümetini desteklediğini belirtti. Grubun odak noktasının denizcilik konuları olduğu ve Malezya, Singapur, Tayvan ve Avustralya gibi bölgelerde faaliyet gösterdiği ifade ediliyor. Ayrıca, 2021'deki iddianamede grubun ABD, Avusturya, Kanada ve diğer ülkelerdeki savunma, havacılık gibi sektörlerden ticari sırlar çaldığı belirtilmişti.