Китайские хакеры использовали старый и надежный инструмент для шпионажа за госучреждениями и тяжелой промышленностью

Китайские правительственные хакеры несколько месяцев проводят кампанию кибершпионажа против организаций в Австралии, Малайзии и Европе, а также компаний, работающих в Южно-Китайском море.

Жертвами кампании являются правительственные учреждения Австралии, австралийские СМИ и мировые компании в сфере тяжелой промышленности, которые проводят техобслуживание ветряных турбин в Южно-Китайском море. В совместном отчете Proofpoint и PwC приписали шпионаж группировке APT40 (Leviathan, TA423, Red Ladon). Кроме того, за деятельностью APT40 предположительно стоит Министерство государственной безопасности Китая (МГБ КНР).

Несколько волн фишинговых кампаний проводились в период с 12 апреля по 15 июня и использовали URL-адреса, инициирующие австралийские медиакомпании, для доставки разведывательного инструмента ScanBox. Фишинговые электронные письма содержали такие темы, как «Отпуск по болезни», «Исследование пользователей» и «Запрос на сотрудничество».

В ходе атаки хакер выдавал себя за сотрудника вымышленного австралийского СМИ и предоставлял URL-адрес вредоносного домена, призывая жертву просмотреть веб-сайт или поделиться исследовательским контентом для публикации на сайте. APT40 использует контролируемый домен, который используется для доставки вредоносного ПО.

ScanBox представляет собой вредоносное ПО на основе JavaScript, которое позволяет хакеру профилировать своих жертв и доставлять полезную нагрузку следующего этапа, содержащую RAT-трояны HUI Loader , PlugX и ShadowPad .

ScanBox извлекает и запускает в веб-браузере жертвы несколько плагинов, которые:

• регистрируют нажатия клавиш;
• снимают отпечаток браузера;
• собирают список установленных надстроек браузера;
• обмениваются данными с зараженными машинами;
• проверяют наличие Kaspersky Internet Security (KIS).

Также в этих атаках использовались вредоносные RTF-документы для доставки загрузчика первого этапа, который затем действовал как канал для получения закодированных версий шелл-кода Meterpreter. Одной из жертв этой кампании в марте 2022 года стал европейский производитель тяжелого промышленного оборудования для морских ветряных электростанций в Тайваньском проливе.

Scanbox уже известен ИБ-сообществу. Он использовался китайскими кибершпионами из APT 10 в рамах кампании против членов Национального совета США по внешней торговле.

Также в 2019 году неизвестные злоумышленники скомпрометировали правительственный сайт Пакистана и заразили его кейлоггером и другим вредоносным ПО для сбора данных пользователей, проверяющих статус своего заявления на получение пакистанского гражданства.