Dieser Bericht beschreibt die jüngsten Scanbox-Kampagnen, die sich Anfang März 2019 gegen eine pakistanische Regierungsbehörde und die Zentrale tibetische Verwaltung richteten. Die Forscher der Insikt Group nutzten Daten von der Recorded FutureⓇ-Plattform, Shodan, Farsight Security DNS, Netzwerkmetadaten von Drittanbietern und gängigen OSINT-Techniken.

Dieser Bericht dürfte vor allem für Netzwerkverteidiger von Interesse sein, die die Bedrohung durch Cyber-Spionage-Akteure verstehen möchten, die strategische Angriffe auf das Internet ausnutzen, um Netzwerke auszukundschaften, bevor sie gezieltere Versuche unternehmen, sich Zugriff auf ihr Netzwerk zu verschaffen.

Executive Summary

Anfang März 2019 identifizierte die Insikt Group von Recorded Future zwei separate Scanbox-Kampagnen, bei denen strategische Web-Kompromittierungen zum Einsatz kamen, um Besucher der Website der pakistanischen Generaldirektion für Einwanderung und Passwesen (DGIP) und eine Parodie der offiziellen Website der Zentraltibetischen Verwaltung (CTA) anzusprechen. Es ist wahrscheinlich, dass die Angreifer in beiden Fällen die Geräte der Website-Besucher profilieren wollten, um anschließende Angriffe durchzuführen.

Die Insikt Group hebt diese Aktivität hervor, um den Schutz der Zielgemeinschaften zu ermöglichen und das Bewusstsein für die Risiken zu schärfen, die von In-Memory-Aufklärungsframeworks wie Scanbox ausgehen. Dieses Framework wird von staatlich geförderten chinesischen Bedrohungsakteuren häufig verwendet und verfügt über Funktionen, die Keylogging und die Bereitstellung zusätzlicher Malware für ahnungslose Website-Besucher ermöglichen.

Wichtige Urteile

• Bei der Analyse der Bereitstellung der tibetischen Scanbox werden mehrere damit verbundene Domänen und IPs hervorgehoben, die auf eine umfassendere Kampagne gegen tibetische Interessen schließen lassen.
• Scanbox wurde bereits früher bei der Verfolgung verfolgter Minderheitengruppen wie den Uiguren und Tibetern in China eingesetzt.

Hintergrund

Scanbox wurde erstmals Anfang 2014 entdeckt und kam bei mehreren spektakulären Angriffen zum Einsatz, darunter beim Anthem-Datenleck und den Watering-Hole-Angriffen auf Forbes . Darüber hinaus wurde es von in China ansässigen Bedrohungsakteuren wie Leviathan (APT40, Temp.Periscope), LuckyMouse (TG-3390, Emissary Panda, Bronze Union), APT10 (menuPass, Stone Panda) und APT3 (Pirpi, Gothic Panda) weithin übernommen.
Scanbox ist ein Aufklärungsframework, das es Angreifern ermöglicht, Besucher kompromittierter Websites zu verfolgen, Keylogging durchzuführen und Daten zu sammeln, die für nachfolgende Kompromittierungen verwendet werden könnten. Berichten zufolge wurde es auch modifiziert, um sekundäre Malware auf Zielhosts zu übertragen. Durch die in Javascript und PHP geschriebene Scanbox-Bereitstellung ist es nicht mehr erforderlich, Malware auf das Hostgerät herunterzuladen.

Zusammenfassung der Scanbox-Nutzung seit 2014. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Pakistan DGIP Scanbox-Instanz

Am 4. März 2019 stellte die Insikt Group fest, dass das Online-Tracking-System für Passanträge auf der pakistanischen DGIP-Website (tracking.dgip.gov[.]pk) wurde von Angreifern kompromittiert, die Scanbox-Code auf der Seite bereitgestellt hatten. Aufgrund der strategischen Webkompromittierung (SWC), auch als Watering Holes bekannt, wurden Website-Besucher auf einen vom Angreifer kontrollierten Scanbox-Server umgeleitet, der auf der niederländischen IP 185.236.76[.]35 gehostet wurde. Dadurch können die Angreifer die breite Funktionalität von Scanbox nutzen.
Weitere Einzelheiten zu dieser Scanbox-Bereitstellung finden Sie in einem kürzlich veröffentlichten Blog von Trustwave.

Mit Scanbox infiziertes Webportal für das Tracking-System des pakistanischen DGIP.

Scanbox-Instanz der Zentralen Tibetischen Verwaltung

Forscher der Insikt Group wurden auf eine neue Domänenregistrierung innerhalb der Recorded Future-Plattform aufmerksam gemacht, die eine Typosquatting-Regel für tibct[.]net auslöste. Die Domain wurde erstmals am 6. März 2019 registriert.

Neues Domainregistrierungsereignis, das im Recorded Future-Portal vermerkt ist, und Auslösen der Typosquat-Risikoregel.
Bei der Analyse wies die Website inhaltliche Ähnlichkeiten mit der legitimen Website des CTA auf, wie unten gezeigt:

Direkter Vergleich der gefälschten CTA-Website tibct[.]netto (links) und die legitime CTA-Website tibet[.]netto (rechts).
Später, am 7. März 2019, stellten wir fest, dass die tibct[.]netto Die Webseite war von den Angreifern so modifiziert worden, dass sie bösartiges JavaScript enthielt, das Besucher auf einen Scanbox-Server umleitete, der auf oppo[.]Ml (Lastenausgleich über Cloudflare IPs 104.18.36[.]192, 104.18.37[.]192 und 2606:4700:30::6812[:]24c0).

Schädliches JavaScript, eingebettet in die gefälschte Domäne tibct[.]net.

Besucher, die wahrscheinlich die offizielle CTA-Website, tibet[.]net, besuchen möchten, wurden dazu verleitet, zu tibct[.]net zu navigieren, möglicherweise über Links in Spearphishing-E-Mails, die dann anschließend auf die Scanbox C2-Domäne oppo[.]ml weitergeleitet wurden.

Die Analyse der gefälschten Domain tibct[.]net in den WHOIS-Daten ergab, dass die Angreifer dieselbe E-Mail-Adresse verwendet hatten, um die Domains tibct[.]org (registriert am 5. März 2019) und monlamlt[.]com zu registrieren. (registriert am 11. März 2019), die beide entweder Ressourcen mit Bezug zu Tibet zu hosten scheinen oder Tippfehler offizieller CTA-Domänen sind. Die Analyse dieser Domänen in der DNSDB von Farsight Security zeigt weitere eng damit verbundene Infrastruktur.

Ausblick

Diese Scanbox-Einbrüche, die von der Insikt Group im Abstand von wenigen Tagen entdeckt wurden, zeigen, dass das Tool bei Angreifern nach wie vor beliebt ist und gegen Organisationen eingesetzt wird, die weitgehend den geopolitischen Interessen des chinesischen Staates folgen. Aufgrund der Identität der beiden Zielorganisationen sowie der gut dokumentierten historischen Verwendung von Scanbox durch eine Vielzahl chinesischer APTs gehen wir mit geringer Sicherheit davon aus, dass diese Scanbox-Bereitstellungen wahrscheinlich von staatlich geförderten chinesischen Bedrohungsakteuren durchgeführt wurden.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen die Umsetzung der folgenden Maßnahmen zur Abwehr von Scanbox-Targeting, wie in dieser Studie dokumentiert:

• Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
• Implementieren Sie die bereitgestellten Snort-Regeln im Bedrohungssuchepaket, das in Anhang B beigefügt ist, in Ihr IDS- und IPS-Gerät und untersuchen Sie alle Warnungen, die für Aktivitäten generiert werden, die den in diesem Bericht beschriebenen TTPs ähneln.
• Führen Sie in Ihrem Unternehmen regelmäßig YARA-Scans für die Scanbox-Regeln durch, die im Bedrohungssuchepaket in Anhang B aufgeführt sind.
• Kunden von Recorded Future können über neue Proben benachrichtigt werden, die der YARA-Regel entsprechen, die derzeit von Forschern der Insikt Group innerhalb der Recorded Future-Plattform eingesetzt wird.