Cyberthreat.id – Peneliti keamanan dari Proofpoint dan PwC mengungkapkan bahwa pelaku ncaman yang berbasis di China telah menargetkan badan-badan pemerintah Australia dan armada turbin angin di Laut China Selatan.

Dikutip dari Bleeping Computer, Kampanye ini aktif dari April hingga Juni tahun ini dan menargetkan orang-orang di lembaga Pemerintah Australia lokal dan federal, organisasi media berita Australia, dan di pabrikan industri berat global yang menyediakan perawatan turbin angin di Laut Cina Selatan.

“Korban akan membuka situs penipuan itu setelah menerima email phishing dengan umpan memikat dan menerima muatan JavaScript berbahaya dari kerangka kerja pengintaian ScanBox,” kata para peneliti.

Peneloti mengatakan, tujuan utama dari serangan ini adalah spionase siber, sehingga mereka mengaitkan aktivitas dengan kepercayaan sedang ke grup yang berbasis di China yang dilacak sebagai dari grup ancaman yang dilacak sebagai APT40 (alias TA423, Leviathan, Red Ladon).

Seperti diketahui, ScanBox telah terlihat dalam beberapa serangan dari setidaknya enam pelaku ancaman yang berbasis di China di masa lalu dan ada cukup bukti yang menunjukkan bahwa toolkit tersebut telah digunakan setidaknya sejak tahun 2014.

Sebuah laporan dari Proofpoint hari ini mencatat bahwa email phishing dikirim ke target dalam beberapa gelombang, menggunakan alamat email Gmail dan Outlook. Pengirim menyamar sebagai karyawan “Australian Morning News,” outlet media palsu, dan menambahkan URL ke situs web jahat. Situs ini menampilkan konten yang disalin dari berbagai portal berita yang sah.

URL juga menyertakan nilai unik untuk setiap target, kata para peneliti, meskipun mereka mengarah ke halaman yang sama dan muatan berbahaya di setiap contoh. Pengunjung situs web palsu disajikan dengan salinan kerangka kerja ScanBox melalui eksekusi JavaScript dan pemuatan modul bertahap.

“ScanBox dapat mengirimkan kode JavaScript dalam satu blok, atau, seperti yang terjadi pada kampanye April 2022, sebagai arsitektur modular berbasis plugin,” jelas Proofpoint.

Laporan tersebut lebih lanjut menjelaskan bahwa mengirimkan seluruh kode mungkin lebih disukai daripada pelaku ancaman. Namun, itu akan berisiko crash dan kesalahan dan itu bisa menarik perhatian peneliti, sehingga pemuatan plugin selektif dipilih.

Dalam beberapa kasus yang diamati pada Juni 2022, pelaku ancaman menargetkan Pertahanan Angkatan Laut Australia, minyak dan minyak bumi, dan perusahaan pengeboran air dalam menggunakan umpan layanan paspor COVID-19 yang mengunduh stager DLL untuk memuat Meterpreter.

Berdasarkan bukti terbaru dari metode dan alat penargetan, Proofpoint menyimpulkan bahwa kampanye 2022 adalah fase ketiga dari misi pengumpulan intelijen yang sama yang telah dilakukan APT40 sejak Maret 2021.

Saat itu, pelaku ancaman menyamar sebagai outlet berita seperti “The Australian” dan “Herald Sun”, untuk melakukan injeksi RTF Template dan memuat Meterpreter pada mesin korban. Penggunaan ScanBox dalam kampanye APT40 terlihat pada tahun 2018 lalu.