Scanbox Watering Hole nimmt Website-Besucher der pakistanischen und tibetischen Regierung ins Visier

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Dieser Bericht beschreibt die jüngsten Scanbox-Kampagnen, die sich Anfang März 2019 gegen eine pakistanische Regierungsbehörde und die Zentrale tibetische Verwaltung richteten. Die Forscher der Insikt Group nutzten Daten von der Recorded FutureⓇ-Plattform, Shodan, Farsight Security DNS, Netzwerkmetadaten von Drittanbietern und gängigen OSINT-Techniken.

Dieser Bericht dürfte vor allem für Netzwerkverteidiger von Interesse sein, die die Bedrohung durch Cyber-Spionage-Akteure verstehen möchten, die strategische Angriffe auf das Internet ausnutzen, um Netzwerke auszukundschaften, bevor sie gezieltere Versuche unternehmen, sich Zugriff auf ihr Netzwerk zu verschaffen.

Executive Summary

Anfang März 2019 identifizierte die Insikt Group von Recorded Future zwei separate Scanbox-Kampagnen, bei denen strategische Web-Kompromittierungen zum Einsatz kamen, um Besucher der Website der pakistanischen Generaldirektion für Einwanderung und Passwesen (DGIP) und eine Parodie der offiziellen Website der Zentraltibetischen Verwaltung (CTA) anzusprechen. Es ist wahrscheinlich, dass die Angreifer in beiden Fällen die Geräte der Website-Besucher profilieren wollten, um anschließende Angriffe durchzuführen.

Die Insikt Group hebt diese Aktivität hervor, um den Schutz der Zielgemeinschaften zu ermöglichen und das Bewusstsein für die Risiken zu schärfen, die von In-Memory-Aufklärungsframeworks wie Scanbox ausgehen. Dieses Framework wird von staatlich geförderten chinesischen Bedrohungsakteuren häufig verwendet und verfügt über Funktionen, die Keylogging und die Bereitstellung zusätzlicher Malware für ahnungslose Website-Besucher ermöglichen.

Hintergrund

Scanbox wurde erstmals Anfang 2014 entdeckt und kam bei mehreren spektakulären Einbruchsversuchen zum Einsatz, darunter beim Anthem-Hack und den Forbes-Watering-Hole -Angriffen. Zudem wurde es von Bedrohungsakteuren mit Sitz in China weithin übernommen, darunter Leviathan (APT40, Temp.Periscope), LuckyMouse (TG-3390, Emissary Panda, Bronze Union), APT10 (menuPass, Stone Panda) und APT3 (Pirpi, Gothic Panda).

Scanbox ist ein Aufklärungsframework, das es Angreifern ermöglicht, Besucher kompromittierter Websites zu verfolgen, Keylogging durchführt und Daten sammelt, die für nachfolgende Kompromittierungen verwendet werden könnten. Berichten zufolge wurde der Schädling außerdem so modifiziert, dass er sekundäre Schadsoftware auf die Zielhosts übertragen kann. Die in Javascript und PHP geschriebene Scanbox-Bereitstellung macht das Herunterladen von Malware auf das Hostgerät überflüssig.

Zusammenfassung der Scanbox-Nutzung seit 2014. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Pakistan DGIP Scanbox-Instanz

On March 4, 2019, Insikt Group identified that the online passport application tracking system on Pakistan’s DGIP website (tracking.dgip.gov[.]pk) was compromised by attackers who had deployed Scanbox code onto the page. Website visitors were redirected as a result of the strategic web compromise (SWC), also known as watering holes, to an attacker-controlled Scanbox server hosted on Netherlands IP 185.236.76[.]35, enabling the attackers to deploy Scanbox’s wide array of functionality.

Weitere Einzelheiten zu dieser Scanbox-Bereitstellung finden Sie in einem kürzlich veröffentlichten Blog von Trustwave.

Mit Scanbox infiziertes Webportal für das Tracking-System des pakistanischen DGIP.

Scanbox-Instanz der Zentralen Tibetischen Verwaltung

Forscher der Insikt Group wurden auf eine neue Domänenregistrierung innerhalb der Recorded Future-Plattform aufmerksam gemacht, die eine Typosquatting-Regel für tibct[.]net auslöste. Die Domain wurde erstmals am 6. März 2019 registriert.

Neues Domänenregistrierungsereignis im Recorded Future-Portal vermerkt und Auslösen der Typosquat-Risikoregel.

Bei der Analyse zeigte die Site inhaltliche Ähnlichkeiten mit der legitimen Website des CTA, wie unten dargestellt:

Nebeneinanderstellung der gefälschten CTA-Website tibct[.]net (links) und die legitime CTA-Website tibet[.]net (Rechts).

Subsequently, on March 7, 2019, we identified that the tibct[.]net webpage had been modified by the attackers to incorporate malicious JavaScript that redirected visitors to a Scanbox server hosted on oppo[.]ml (load-balanced across Cloudflare IPs 104.18.36[.]192, 104.18.37[.]192, and 2606:4700:30::6812[:]24c0).

Schädliches JavaScript, eingebettet in die gefälschte Domäne tibct[.]net.

Besucher, die wahrscheinlich die offizielle CTA-Website, tibet[.]net, besuchen möchten, wurden dazu verleitet, zu tibct[.]net zu navigieren, möglicherweise über Links in Spearphishing-E-Mails, die dann anschließend auf die Scanbox C2-Domäne oppo[.]ml weitergeleitet wurden.

Die Analyse der gefälschten Domain tibct[.]net in den WHOIS-Daten ergab, dass die Angreifer dieselbe E-Mail-Adresse verwendet hatten, um die Domains tibct[.]org (registriert am 5. März 2019) und monlamlt[.]com zu registrieren. (registriert am 11. März 2019), die beide entweder Ressourcen mit Bezug zu Tibet zu hosten scheinen oder Tippfehler offizieller CTA-Domänen sind. Die Analyse dieser Domänen in der DNSDB von Farsight Security zeigt weitere eng damit verbundene Infrastruktur.

Domain	IP-Auflösung	Kommentar
tibct[.]net	139.59.90[.]169 (March 7 – 8, 2019), 103.255.179[.]142 (March 9, 2019)	Domain registriert mit Adresse in Guangdong, China; Typosquat von tibet[.]net
tibct[.]org	–	Typosquat der CTA-Site tibet[.]net
monlamlt[.]com	23.225.161[.]105	Tippfehler von monlamit[.]com, eine tibetische IT-Ressourcen- und Support-Site
mailshield[.]ga	23.225.161[.]105	Mögliche Parodie eines AV-Produkts
Fotogramm[.]ga	23.225.161[.]105	Mögliche Parodie auf Bildfreigabe (z. B. Instagram)
mail.mailshield[.]ga	23.225.161[.]105	Mögliche Parodie eines AV-Produkts

Ausblick

Diese Scanbox-Einbrüche, die von der Insikt Group im Abstand von wenigen Tagen entdeckt wurden, zeigen, dass das Tool bei Angreifern nach wie vor beliebt ist und gegen Organisationen eingesetzt wird, die weitgehend den geopolitischen Interessen des chinesischen Staates folgen. Aufgrund der Identität der beiden Zielorganisationen sowie der gut dokumentierten historischen Verwendung von Scanbox durch eine Vielzahl chinesischer APTs gehen wir mit geringer Sicherheit davon aus, dass diese Scanbox-Bereitstellungen wahrscheinlich von staatlich geförderten chinesischen Bedrohungsakteuren durchgeführt wurden.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen die Umsetzung der folgenden Maßnahmen zur Abwehr von Scanbox-Targeting, wie in dieser Studie dokumentiert:

• Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.

• Implementieren Sie die bereitgestellten Snort-Regeln im Bedrohungssuchepaket, das in Anhang B beigefügt ist, in Ihr IDS- und IPS-Gerät und untersuchen Sie alle Warnungen, die für Aktivitäten generiert werden, die den in diesem Bericht beschriebenen TTPs ähneln.

• Führen Sie in Ihrem Unternehmen regelmäßig YARA-Scans für die Scanbox-Regeln durch, die im Bedrohungssuchepaket in Anhang B aufgeführt sind.

• Kunden von Recorded Future können über neue Proben benachrichtigt werden, die der YARA-Regel entsprechen, die derzeit von Forschern der Insikt Group innerhalb der Recorded Future-Plattform eingesetzt wird.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.