Researchers Uncover Active Watering Hole Campaign Pushing ScanBox Keylogger
An active watering hole attack campaign is targeting website visitors with malicious JavaScript code designed to steal information before they even realize they've been compromised. According to Threatpost, security researchers have attributed this campaign to APT group TA423, and it's being delivered through a reconnaissance tool called ScanBox.
Here's what makes this particularly nasty: the victims aren't being targeted because they visited a malicious site they knew to avoid. They're being infected while browsing legitimate websites that've been compromised by attackers.
Breaking It Down
Watering hole attacks work like this. You're at a watering hole in the desert. The attackers poison the well itself, knowing their prey will come drink there eventually. In the cyber world, TA423 identified specific websites that their targets frequently visit, then compromised those sites to inject malicious code.
When a victim visits an infected website, they automatically download and execute the ScanBox reconnaissance tool. It's all happening in the background. No suspicious email to click, no malware installer to approve—just visiting what seems like a normal, trustworthy webpage.
The timing of this discovery matters too. Threatpost's reporting came in August 2022, which means this wasn't some theoretical vulnerability or proof-of-concept attack. This was an actual, operational cyber attack campaign actively compromising people right then.
The Technical Side
ScanBox is a JavaScript-based reconnaissance tool. And that's significant because JavaScript runs natively in web browsers—no special permissions needed, no antivirus warnings. The attacker's code can execute directly on the victim's machine to survey their system, check for security software, identify network configuration, and collect other environmental data.
Think of it as reconnaissance before the main invasion.
The malware functions as a keylogger, meaning it captures everything typed on an infected machine. That includes usernames, passwords, search queries, messages—basically any keystroke. The stolen data gets exfiltrated back to the attacker's command and control servers.
What makes this an APT cyber attack—not just a random malware infection—is the sophistication and targeting. APT groups operate with nation-state-level resources and patience. They're selective about targets, methodical about campaigns, and willing to spend months or years maintaining access to high-value systems.
Who's Affected
TA423 appears to focus on specific victim categories based on the websites they compromised. We don't have the complete list of targeted domains or victim organizations from the Threatpost reporting, but the fact that they went through the effort of compromising legitimate websites tells you these aren't random targets.
Anyone visiting a compromised website could've been hit. But the real concern? Organizations and individuals working in sectors that interest nation-state actors. Frankly, if you operate in government, defense, critical infrastructure, or sensitive research, you should assume you were being actively hunted during this campaign.
And here's what stings: watering hole attacks are notoriously difficult to defend against because the malicious content lives on sites you're supposed to trust.
What To Do Now
First, understand that your antivirus might've missed this. JavaScript reconnaissance tools can be crafted to avoid signature-based detection. Run a full system scan with multiple security tools—Malwarebytes, HitmanPro, or similar—not just your primary antivirus.
Second, change your passwords. If ScanBox was logging keystrokes on your machine, your credentials are potentially compromised. Use a machine you're confident is clean to change sensitive passwords.
Third, enable two-factor authentication everywhere that matters. Email, banking, work systems, cloud storage. If attackers have your password but need a second factor, you've just made their job exponentially harder.
Monitor your accounts for suspicious activity. Check for unexpected logins, password reset attempts, or unauthorized access attempts. Your email provider and banking apps usually show recent login locations and devices—review them.
If you work in a sector that interests state-sponsored actors, contact your security team immediately and assume compromise. Recent APT cyber attacks like this one demand rapid incident response, not waiting to see if anything happens.
Дослідники розкрили активну кампанію атак на водопої зі шпигуном ScanBox
Активна кампанія атак на водопої спрямована на відвідувачів вебсайтів із шкідливим кодом JavaScript, призначеним для крадіжки інформації ще до того, як жертви усвідомлять, що вони були скомпрометовані. За даними Threatpost, дослідники кібербезпеки приписали цю кампанію групі APT TA423, і вона розповсюджується за допомогою інструменту розвідки під назвою ScanBox.
Ось що робить це особливо небезпечним: жертви не вибираються тому, що відвідували шкідливий сайт, якого слід було уникати. Вони заражаються під час перегляду легітимних вебсайтів, які були скомпрометовані зловмисниками.
Розбір ситуації
Атаки на водопої працюють так: ви біля водопою в пустелі. Зловмисники отруюють саме джерело, знаючи, що їхні жертви рано чи пізно прийдуть туди пити. У кіберпросторі TA423 визначили конкретні вебсайти, які часто відвідують їхні цілі, а потім скомпрометували ці сайти, щоб впровадити шкідливий код.
Коли жертва відвідує заражений вебсайт, вона автоматично завантажує і виконує інструмент розвідки ScanBox. Все це відбувається у фоновому режимі. Немає підозрілого електронного листа для натиснення, немає інсталятора шкідливого ПО для затвердження — просто відвідування того, що здається звичайною, надійною вебсторінкою.
Час виявлення цієї кампанії також важливий. Звіт Threatpost вийшов у серпні 2022 року, що означає, це була не якась теоретична вразливість або proof-of-concept атака. Це була реальна, операційна кампанія кібератак, яка активно компрометувала людей у той момент.
Технічна сторона
ScanBox — це інструмент розвідки на основі JavaScript. І це значиме, тому що JavaScript виконується нативно у веб-браузерах — без спеціальних дозволів, без попереджень антивірусу. Код зловмисника може виконуватися безпосередньо на машині жертви, щоб обстежити її систему, перевірити наявність програм безпеки, визначити конфігурацію мережі та зібрати інші дані про середовище.
Думайте про це як про розвідку перед головною атакою.
Шкідливе ПО функціонує як клавіатурний шпигун, тобто захоплює все, що набирається на заразній машині. Це включає імена користувачів, паролі, пошукові запити, повідомлення — по суті будь-який натиск клавіші. Украдені дані передаються назад на сервери командування та контролю зловмисника.
Те, що робить це APT атакою — а не просто випадковою інфекцією шкідливим ПО — це складність і цілеспрямованість. Групи APT мають ресурси на рівні держави і терпіння. Вони вибірково ставляться до цілей, методично планують кампанії і готові протягом місяців або років утримувати доступ до цінних систем.
Хто постраждав
TA423 здається, сфокусована на конкретних категоріях жертв, виходячи з вебсайтів, які вони скомпрометували. Ми не маємо повного списку скомпрометованих доменів або потерпілих організацій з звіту Threatpost, але сам факт того, що вони зробили зусилля для компрометації легітимних вебсайтів, говорить про те, що це не випадкові цілі.
Будь-хто, хто відвідав скомпрометований вебсайт, міг потрапити в цю атаку. Але справжня проблема? Організації та люди, які працюють у секторах, що цікавлять гравців на рівні держав. Чесно кажучи, якщо ви працюєте у державних структурах, обороні, критичній інфраструктурі або чутливих дослідженнях, припускайте, що ви були активно переслідувані під час цієї кампанії.
І ось що турбує: атаки на водопої надзвичайно важко захищати, тому що шкідливий вміст знаходиться на сайтах, яким ви повинні довіряти.
Що робити тепер
По-перше, розумійте, що ваш антивірус міг це пропустити. Інструменти розвідки на основі JavaScript можна розробити, щоб уникнути виявлення на основі підписів. Запустіть повне сканування системи за допомогою кількох інструментів безпеки — Malwarebytes, HitmanPro або подібних — а не лише основного антивірусу.
По-друге, змініть паролі. Якщо ScanBox реєстрував натиски клавіш на вашій машині, ваші креденшали потенційно скомпрометовані. Використайте машину, в якій ви впевнені, що вона чиста, для зміни чутливих паролів.
По-третє, увімкніть двофакторну аутентифікацію везде, де це важливо. Електронна пошта, банківські системи, робочі системи, хмарне сховище. Якщо зловмисники мають ваш пароль, але потребують другого фактора, ви щойно значно ускладнили їхнє завдання.
Моніторьте свої облікові записи на предмет підозрілої активності. Перевірте неочікувані входи, спроби скидання пароля або спроби несанкціонованого доступу. Ваш постачальник послуг електронної пошти та банківські програми зазвичай показують останні місцезнаходження входів і пристрої — перегляньте їх.
Якщо ви працюєте у секторі, що цікавить спонсорованих державою акторів, негайно зв'яжіться зі своєю командою безпеки і припускайте компрометацію. Останні APT кібератаки на зразок цієї вимагають швидкої реагування на інциденти, а не очікування, щоб подивитися, що станеться.