Компании Proofpoint и PwC Threat Intelligence совместно выявили кампанию кибершпионажа, активную с апреля 2022 года по июнь, в рамках которой структура эксплуатации ScanBox поставляется целям, посещающим вредоносный домен, выдающий себя за австралийский новостной сайт.
TA423 / Red Ladon APT
Совместные усилия исследователей Proofpoint и PwC дают умеренную оценку уверенности в том, что недавние кампании, направленные на федеральное правительство, энергетику и производственный сектор по всему миру, могут представлять собой недавние усилия TA423 / Red Ladon. Деятельность, пересекающаяся с этим угрожающим субъектом, была публично названа в правительственных обвинительных заключениях "APT40" и "Левиафан". В этом блоге анализируется структура и возможности образца ScanBox и плагинов, выявленных в этой кампании. Он также сопоставляет эту кампанию и ее виктимологию с предыдущими кампаниями, проведенными TA423 / Red Ladon, в которых использовалась инъекция шаблонов RTF.
- Недавние целевые фишинговые кампании, использующие URL-адреса, выдающие себя за австралийские СМИ, для доставки разведывательного скрипта ScanBox;
- Как работает этот пользовательский скрипт ScanBox и связанные с ним модули;
- Как эта кампания соотносится с угрозами, возникшими в июне 2021 года, в которых использовалась инъекция шаблонов RTF;
- TA423/Red Ladon нацелена на внутренние австралийские организации, а также на организации, занимающиеся разведкой морских месторождений энергии в Южно-Китайском море.
TA423 / Red Ladon: TA423 / Red Ladon - это китайский угрожающий субъект, мотивированный шпионажем, который действует с 2013 года, атакуя различные организации в ответ на политические события в Азиатско-Тихоокеанском регионе с акцентом на Южно-Китайское море. Среди целей - оборонные подрядчики, производители, университеты, правительственные агентства, юридические фирмы, участвующие в дипломатических спорах, и иностранные компании, вовлеченные в политику Австралазии или операции в Южно-Китайском море.
Indicators of Compromise
IPv4 Port Combinations
- 139.59.60.116:443
- 172.105.114.27:80
Domains
- australianmorningnews.com
- heraldsun.me
- image.australianmorningnews.com
- regionail.xyz
- theaustralian.in
- walmartsde.com
URLs
- http://172.105.114.27/v<идентификатор жертвы>
- http://asutralianmorningnews.com/?p=19-
- http://australianmorningnews.com/?p=23
- http://australianmorningnews.com/?p=23-
- http://australianmorningnews.com/?p=30
- http://australianmorningnews.com/?p=55
- http://australianmorningnews.com/?p=58
- http://image.australianmorningnews.com/i/
- http://image.australianmorningnews.com/i/?cwhe18nc
- http://image.australianmorningnews.com/i/c.php?data=
- http://image.australianmorningnews.com/i/k.php?data=
- http://image.australianmorningnews.com/i/p.php?data=
- http://image.australianmorningnews.com/i/v.php?m=a&data=
- http://image.australianmorningnews.com/i/v.php?m=b
- http://image.australianmorningnews.com/i/v.php?m=p&data=
- http://image.australianmorningnews.com/i/v.php?m=plug
- http://walmartsde.com/UpdateConfig
- https://magloball.com/nDo3SB
- https://regionail.xyz/
- https://regionail.xyz/austrade.au
- https://theaustralian.in/europa.eeas
- https://theaustralian.in/office
- https://theaustralian.in/word
Emails
- amianggitaphill@yahoo.com
- ascents.nestora2@gmail.com
- brittanisoq@outlook.com
- charmainejuxtzk@outlook.com
- claire3bluntxq@gmail.com
- dagny382cber@outlook.com
- earlt1948@gmail.com
- entertainingemiliano20@gmail.com
- goodlandteactuator@gmail.com
- gradyt18iheme@outlook.com
- marikok2bedax@outlook.com
- mattbotossd@outlook.com
- osinskigeovannyxw@gmail.com
- pearlykeap3l@outlook.com
- suzannehhu316@outlook.com
- thuang6102@gmail.com
- visitable.daishaju@gmail.com
- walknermohammad26@gmail.com
- zoezlb@gmail.com
SHA256
- 0b9447cb00ae657365eb2b771f4f2c505e44ca96a0a062d54f3b8544215fc082
- 13f593f217b4686d736bcfce3917964632e824cb0d054248b9ffcacc59b470d4
- 18db4296309da48665121899c62ed8fb10f4f8d22e44fd70d2f9ac8902896db1
- 22df809c1f47cb8d685f9055ad478991387016f03efd302fdde225215494eb83
- 2a17927834995441c18d1b1b7ec9594eedfccaacca11e52401f83a82a982760e
- 2f204f3b3abc97efc74b6fa016a874f9d4addb8ac70857267cc8e4feb9dbba26
- 3909ae9b64b281cca55fc2cd6d92a11b882d1a58e4c34a59a997a7cb65aba8ef
- 3d37a977f36e8448b087f8e114fe2a1db175372d4b84902887808a6fb0c8028f
- 400be1d28d966ba8491f54237adad52ad4eea8a051f45f49774b92cbfdfcf1ea
- 4dedb022d3c43db6cddd87f250db4758bd88c967f98302d97879d9fc4fadd8a2
- 54ad4c1853179a59d5e9c48b1cfa880c91c5bf390fcfb94e700259b3f8998cb3
- 55a5871b36109a38eed8aef943ccddf1ae9945f27f21b1c62210a810bb0f7196
- 5681cf40c3f00c1a0dc89c05d983c0133cc6bf198bce59acfef788d25bcd9f69
- 57c8123dd505dadb640872f83cf0475871993e99fdb40d8b821a9120e3479f53
- 5a1c689cddb036ca589f6f2e53d323109b94ce062a09fb5b7c5a2efedd7306bc
- 6d2b301e77839fff1c74425b37d02c3f3837ce50e856c21ae4cf7ababb04addc
- 7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a
- 7e1ab1b08eb4b69df11955c3dfe3050be467a374adb704a917ee1a69abcc58a5
- 8033a52b327ad6635fc75f6c2c17b2cb4d56e1fd00081935541c0fb020e2582f
- 981c762ce305cd5221e8757bafa50a00fff8fbc92db5612b311c458d48c29793
- 98fbd5eb6ae126fda8e36e3602e6793c1f719ef3fdbf792689035104b39f14ac
- a115051a02e4faa8eb06d3870af44560274847c099d8e2feb2ef8db8885edf5e
- ab963bf7b1567190b8e5f48e7c88d53c02d7a3a57bd2294719595573a1f2b7c7
- b7e435ccded277740d643309898d344268010808e0582f34ae07e879ac32cf1e
- c4471540b811f091124c166ab51d6d03b6757f71e29c61a0e360e5c64957fcdd
- c4f6fedb636f07e1e53eaef9f18334122cb9da4193c843b4d31311347290a78f
- cb981d04f21a97fdb46b101a882a3490e245760489f4122deb4a0ac951a8eaee
- d357502511352995e9523c746131f8ed38457c38a77381c03dda1a1968abce42
- e1f34cb031bac517796c363c2b31366509bf1367599fd5583c6bc2b0314758bb
- e3f1519db0039e7423f49d92d43d549b152b534856a7efde1a7eda7a9276bb22
- e8a919e0e02fecfe538a8698250ac3eaba969e2af2cc9d96fc86675a658e201e
- F55c020d55d64d9188c916dcbece901bc6eb373ed572d349ff61758bd212857f