ウォータリングホール攻撃がScanBoxキーロガーを拡散

中国を拠点とする脅威アクターが、ScanBox偵察フレームワークの配布を強化しており、被害者にはオーストラリア国内の組織や南シナ海の海外エネルギー企業が含まれています。高度な脅威グループ（APT）が使用する餌は、オーストラリアのニュースサイトにリンクしているかのように見せかけた標的型メッセージです。

サイバースパイ活動は、Proofpointの脅威リサーチチームとPwCの脅威インテリジェンスチームによる火曜日のレポートによると、2022年4月から2022年6月中旬にかけて開始されたと考えられています。

研究者によれば、この脅威アクターは中国を拠点とするAPT TA423、別名Red Ladonであると考えられています。「Proofpointは、中程度の確信をもって、この活動が脅威アクターTA423/Red Ladonに帰属すると評価しています。複数の報告書によれば、中国の海南島から活動していると評価されています」とレポートは述べています。

このAPTは最近の起訴で知られています。「2021年に米国司法省が起訴した際、TA423/Red Ladonが海南省国家安全省（MSS）に長期的な支援を提供していると評価されました」と研究者は述べています。

MSSは中華人民共和国の民間情報機関、治安およびサイバー警察機関です。対諜報、海外諜報、政治的安全保障、そして中国による産業スパイやサイバースパイ活動に関与していると考えられています。

ScanBoxの再活用

このキャンペーンはScanBoxフレームワークを活用しています。ScanBoxは、敵対者が秘密裏に偵察を行うために使用する、カスタマイズ可能で多機能なJavaScriptベースのフレームワークです。

ScanBoxは約10年にわたり敵対者によって使用されており、犯罪者がターゲットのシステムにマルウェアを設置することなく、カウンターインテリジェンスを行える点で注目されています。

「ScanBoxは特に危険です。なぜなら、情報を盗むためにマルウェアをディスクに展開する必要がなく、キーロギング機能は単にJavaScriptコードがウェブブラウザで実行されるだけでよいからです」とPwCの研究者は以前のキャンペーンについて述べています。

マルウェアの代わりに、攻撃者はウォータリングホール攻撃と組み合わせてScanBoxを使用できます。敵対者は悪意のあるJavaScriptを侵害されたウェブサイトにロードし、ScanBoxが感染したウォータリングホールサイト上でユーザーのすべての入力活動を記録するキーロガーとして機能します。

TA423の攻撃は、「病欠」「ユーザーリサーチ」「協力依頼」などのタイトルを持つフィッシングメールから始まりました。これらのメールはしばしば架空の組織「Australian Morning News」の従業員から送られてきたように装われていました。その従業員はターゲットに「ささやかなニュースサイト」australianmorningnews[.]comを訪れるよう促していました。

「リンクをクリックしてサイトにリダイレクトされると、訪問者にはScanBoxフレームワークが提供されました」と研究者は記しています。

そのリンクは、BBCやSky Newsなど実際のニュースサイトからコピーされたコンテンツを持つウェブページにターゲットを誘導しました。その過程で、ScanBoxマルウェアフレームワークも配信されました。

ウォーターホールから収集されたScanBoxキーロガーデータは多段階攻撃の一部であり、攻撃者に将来の攻撃に役立つ潜在的なターゲットへの洞察を与えます。この手法はしばしばブラウザーフィンガープリンティングと呼ばれます。

主な初期スクリプトは、ターゲットのコンピュータに関する情報リスト（オペレーティングシステム、言語、インストールされているAdobe Flashのバージョンなど）を取得します。ScanBoxはさらに、ブラウザ拡張機能、プラグイン、WebRTCなどのコンポーネントのチェックも実行します。

「このモジュールはWebRTCを実装しています。WebRTCはすべての主要ブラウザでサポートされている無料かつオープンソースの技術で、ウェブブラウザやモバイルアプリケーションがアプリケーションプログラミングインターフェース（API）を通じてリアルタイムコミュニケーション（RTC）を実行できるようにします。これにより、ScanBoxはあらかじめ設定されたターゲットに接続できます」と研究者は説明しています。

敵対者は、STUN（Session Traversal Utilities for NAT）と呼ばれる技術を利用できます。これは、ネットワークプロトコルを含む標準化された一連の手法で、リアルタイムの音声、ビデオ、メッセージングアプリケーションなどのインタラクティブな通信がネットワークアドレス変換（NAT）ゲートウェイを通過できるようにします、と研究者は説明しています。

「STUNはWebRTCプロトコルでサポートされています。インターネット上のサードパーティSTUNサーバーを介して、ホストはNATの存在を検出し、NATがアプリケーションのユーザーデータグラムプロトコル（UDP）フロー用にリモートホストに割り当てたIPアドレスとポート番号を発見できます。ScanBoxは、ICE（Interactive Connectivity Establishment）の一部としてSTUNサーバーを使ったNATトラバーサルを実装しています。ICEは、クライアント同士が可能な限り直接通信できるようにするピアツーピア通信手法で、NATやファイアウォール、その他のソリューションを介さずに通信できるようにします」と研究者は述べています。

「つまり、ScanBoxモジュールはSTUNサーバーへのICE通信を確立でき、たとえ被害者のマシンがNATの背後にあっても通信できるということです」と彼らは説明しています。

脅威アクター

脅威アクターは「南シナ海に関連する中国政府の問題、最近の台湾情勢も含めて、中国政府を支援しています」とProofpointの脅威リサーチ＆ディテクション担当副社長Sherrod DeGrippo氏は声明で説明しています。「このグループは特に、地域で誰が活動しているかを知りたがっており、確実とは言えませんが、海軍関連の問題への関心はマレーシア、シンガポール、台湾、オーストラリアなどの場所で今後も変わらず続くと考えられます。」

このグループは過去にオーストラレーシアを大きく超えて活動を拡大しています。2021年7月の米国司法省の起訴状によれば、同グループは「米国、オーストリア、カンボジア、カナダ、ドイツ、インドネシア、マレーシア、ノルウェー、サウジアラビア、南アフリカ、スイス、英国の被害者から、企業秘密や機密ビジネス情報を盗んだ」とされています。標的となった業界には、航空、防衛、教育、政府、医療、バイオ医薬品、海事などが含まれます。

DoJの起訴にもかかわらず、アナリストたちは「TA423の作戦ペースに明確な混乱は見られない」とし、「TA423/Red Ladonが今後も情報収集およびスパイ活動を継続することが予想される」とまとめています。