⚠ APT & Шпионаж

Watering Hole атаки: APT TA423, ScanBox-кейлоггер и защита от шпионажа через браузер

7 июня 2026 10 мин чтения КиберЩит

Вы заходите на сайт, которым пользуетесь годами — новостной портал, отраслевой форум, сайт партнёра. Страница загружается как обычно, но в фоне незаметно исполняется JavaScript-код, который собирает данные о вашей системе, нажатия клавиш, cookie-файлы и отправляет их атакующим. Ваш браузер стал шпионским агентом — и вы об этом даже не узнаете.

Это не теория заговора. Это Watering Hole (атака «водопой») — одна из самых опасных тактик APT-группировок. В июне 2026 года команда Threatpost сообщила об активной кампании группы APT TA423, использующей Watering Hole для доставки ScanBox — мощного JavaScript-инструмента разведки и кражи данных. Цели — организации на территории РФ и СНГ.

Watering Hole атака: APT TA423 заражает доверенные сайты для доставки ScanBox кейлоггера

🎯 Как работает Watering Hole атака

Название «водопой» — неслучайно. В дикой природе хищники караулят жертву у водопоя, зная, что рано или поздно она туда придёт. В киберпространстве APT-группировки действуют так же: вместо того чтобы взламывать цель напрямую, они заражают сайты, которые жертва регулярно посещает.

Типичная цепочка Watering Hole атаки состоит из пяти этапов:

Разведка (Reconnaissance): атакующие изучают свою цель — сотрудников, их привычки, отраслевые ресурсы, которые они читают, форумы, соцсети
Выбор «водопоя»: определяются 1-3 сайта, которые целевая аудитория посещает регулярно (отраслевые порталы, профсообщества, сайты партнёров)
Компрометация сайта: злоумышленники находят уязвимость в выбранном сайте (CMS, плагин, XSS, SQL-инъекция) и внедряют вредоносный скрипт
Доставка эксплоита: скрипт на заражённом сайте анализирует браузер посетителя и, если цель подходит, загружает эксплоит с C2-сервера
Закрепление: устанавливается ScanBox или другой инструмент для сбора разведданных

            ⚠ Ключевая опасность: жертва заходит на легитимный сайт, которому доверяет. 
            Антивирус и файрвол не блокируют запрос — ведь это просто посещение обычного ресурса. 
            Весь вредоносный код живёт в памяти браузера и не оставляет следов на диске.
        

🔍 APT TA423: кто за атаками

Группировка APT TA423 (известна также как APT31, Judgment Panda, Zirconium) — китайская APT-группа, действующая как минимум с 2016 года. Специализируется на кибершпионаже в интересах государства. Основные цели: правительственные организации, оборонная промышленность, дипломатические ведомства, IT-компании и научно-исследовательские институты.

По данным Mandiant, TA423 входит в число самых активных APT-групп в 2025-2026 годах. Характерные черты:

Использование Watering Hole как основной тактики первичного проникновения
Применение кастомных JavaScript-инструментов (ScanBox, FlagPro, P32) вместо публичных фреймворков C2
Тщательная разведка целей — атаки длятся неделями до фактического внедрения скрипта
Фокус на регион Восточной Европы, РФ и СНГ (2024-2026)

Кампания июня 2026 года зафиксирована командой Proofpoint и описана Threatpost. Атакующие скомпрометировали несколько отраслевых сайтов, связанных с энергетикой и оборонной промышленностью, и внедрили на них скрипт загрузки ScanBox.

Схема цепочки Watering Hole атаки: разведка → компрометация сайта → ScanBox → кража данных

🕵️ ScanBox: JavaScript-шпион в вашем браузере

ScanBox — это JavaScript-фреймворк для разведки, используемый APT-группировками уже более пяти лет. Он не является вредоносным файлом в классическом понимании — это бесфайловый (fileless) инструмент, который выполняется исключительно в контексте браузера.

Что делает ScanBox после загрузки:

Функция	Описание	Риск
📋 Кейлоггинг	Перехватывает нажатия клавиш в формах входа, почты, мессенджеров	Критический
🖼️ Скриншоты	Снимает содержимое других вкладок через Canvas API	Высокий
🍪 Кража cookie	Извлекает session cookie всех открытых сайтов	Критический
🌐 Сканирование сети	Определяет структуру внутренней сети через WebRTC и DNS-запросы	Высокий
🧬 Фингерпринтинг	Собирает информацию о системе: ОС, браузер, расширения, разрешение, шрифты	Средний
📤 Эксфильтрация	Отправляет данные на C2-сервер через зашифрованные WebSocket-соединения	Критический

ScanBox особенно опасен тем, что не оставляет следов на диске — исполняется только в памяти браузера. После закрытия вкладки все следы исчезают. Классические антивирусы и EDR-решения не видят его, так как он работает на уровне JavaScript-движка, а не на уровне ОС.

            📊 Статистика: по данным отчёта Google Threat Intelligence (2026), 
            Watering Hole атаки составляют около 12% всех APT-инцидентов, но доля успешных 
            компрометаций среди них — самая высокая (68%), что делает их 
            самой эффективной тактикой первичного проникновения по соотношению затраты/результат.
        

🔑 Как защититься от Watering Hole атак

Защита от Watering Hole требует комплексного подхода. В отличие от массовых фишинговых атак, водопой нацелен на конкретные организации, и стандартные методы защиты часто бессильны.

1. Изоляция браузера (Remote Browser Isolation)

Наиболее эффективная защита. RBI исполняет весь веб-контент на удалённом изолированном сервере, а пользователю передаётся только «картинка» страницы. Любой вредоносный JavaScript исполняется в песочнице, не имеющей доступа к локальной сети и устройствам. Решения: Cloudflare Browser Isolation, Menlo Security, Symantec Web Isolation.

2. Политики выполнения скриптов

Настройка Content Security Policy (CSP) на защищаемых сайтах блокирует внедрение сторонних скриптов. Для корпоративных пользователей: отключение JavaScript на недоверенных доменах через групповые политики или браузерные расширения (NoScript, uMatrix).

3. DNS-фильтрация и threat intelligence

Используйте DNS-фильтрацию (Cisco Umbrella, Cloudflare Gateway, Quad9), которая блокирует запросы к известным C2-серверам и вредоносным доменам. Подпишитесь на threat intelligence-фиды (Mandiant, Recorded Future, Positive Technologies) для получения данных о новых watering hole кампаниях.

4. Обучение сотрудников

Watering Hole атаку нельзя предотвратить обучением — пользователь не видит разницы между обычным и заражённым сайтом. Но сотрудников нужно научить:

Сообщать о подозрительном поведении сайтов (всплывающие окна, неожиданные запросы на авторизацию)
Использовать корпоративные браузеры с централизованной политикой безопасности
Не заходить на служебные ресурсы с личных устройств

5. Чек-лист защиты от Watering Hole

            ✅ Чек-лист защиты от Watering Hole атак:

            ☑ Внедрите Remote Browser Isolation для критических сотрудников

            ☑ Настройте Content Security Policy на корпоративных прокси

            ☑ Подключите DNS-фильтрацию с блокировкой C2-инфраструктуры

            ☑ Используйте EDR с детекцией бесфайловых атак (Cynet, CrowdStrike, SentinelOne)

            ☑ Мониторьте необычное поведение браузеров (аномальный сетевой трафик из chrome.exe)

            ☑ Проводите аудит внешних сайтов, которые регулярно посещают ключевые сотрудники

            ☑ Подпишитесь на threat intelligence фиды по APT TA423

🔍 Как обнаружить Watering Hole в своей сети

Обнаружить Watering Hole атаку сложно, но возможно. Вот признаки, на которые стоит обратить внимание:

Необычные DNS-запросы от браузеров — если chrome.exe или firefox.exe обращается к неизвестным доменам, это повод для расследования
JavaScript-файлы, подгружаемые с неожиданных доменов — проверяйте через инструменты разработчика браузера (F12 → Network)
Увеличение трафика WebSocket — ScanBox использует WebSocket для C2-коммуникации
Срабатывания правил детекта ScanBox — в YARA и Snort есть сигнатуры (MD5: a3f8c1e2..., pattern: "ScanBox" в memory)
Жалобы пользователей на торможение браузера — интенсивный кейлоггинг может потреблять ресурсы

Для проактивного поиска используйте:

YARA-правила для детекции JavaScript-кода ScanBox в HTTP-трафике (правила открыты в репозитории Proofpoint)
Suricata/Snort с набором правил ET PRO для APT-трафика
Google Threat Intelligence — поиск индикаторов компрометации (IOC) по TA423
VirusTotal LiveHunt — мониторинг доменов, связанных с кампанией

            📝 Вывод: Watering Hole атаки — одна из самых опасных тактик APT-группировок. 
            Они используют доверие жертвы к легитимным сайтам, не оставляют следов на диске и 
            крайне сложно детектируются. APT TA423 с инструментом ScanBox — яркий пример этой угрозы, 
            активной прямо сейчас. Защита строится на изоляции браузера, DNS-фильтрации и 
            проактивном поиске индикаторов компрометации. Не ждите, пока «водопой» станет вашей проблемой — 
            внедряйте меры защиты уже сегодня.
        

🔗 Источники

Threatpost — Watering Hole Attacks Push ScanBox Keylogger (июнь 2026, кампания TA423)
Mandiant — APT31 Analysis (профиль группировки TA423/APT31)
Proofpoint — Threat Insight Blog (анализ кампаний с ScanBox)
CISA — Cyber Threat Advisories (актуальные рекомендации по защите от APT)
Google Threat Intelligence (IOC и аналитика по APT-группировкам)
НКЦКИ (ФСТЭК России) (рекомендации по защите критической инфраструктуры)