برامج BADAUDIO الخبيثة

تظل اليقظة الأمنية السيبرانية ضروريةً في ظل سعي الجهات الفاعلة في مجال التهديدات إلى تحسين أساليبها واستراتيجياتها باستمرار. وقد قامت مجموعة مرتبطة بالصين تُعرف باسم APT24 بنشر برمجية خبيثة غير موثقة سابقًا تُسمى BADAUDIO للحفاظ على وصول طويل الأمد إلى الشبكات المستهدفة. ويُعدّ هذا النشاط جزءًا من حملة امتدت لما يقرب من ثلاث سنوات، تُسلّط الضوء على الأساليب المتطورة والمتكيّفة التي تستخدمها التهديدات المستمرة المتقدمة (APTs).

من الهجمات الواسعة إلى العمليات المستهدفة

في البداية، اعتمدت APT24 على اختراقات إلكترونية استراتيجية واسعة النطاق لإصابة مواقع إلكترونية شرعية. ومع مرور الوقت، حوّلت المجموعة تركيزها نحو استهداف أكثر دقة، لا سيما للمؤسسات في تايوان. من أهم أساليبها:

• هجمات سلسلة التوريد، مثل الاختراقات المتكررة لشركة تسويق رقمي إقليمية لتوزيع البرامج النصية الضارة.
• حملات التصيد الاحتيالي التي تستهدف أفرادًا أو منظمات محددة.

ركزت مجموعة APT24، المعروفة أيضًا باسم Pitty Tiger، تاريخيًا على قطاعات تشمل الحكومة والرعاية الصحية والبناء والهندسة والتعدين والمنظمات غير الربحية والاتصالات في الولايات المتحدة وتايوان. تشير الأدلة إلى أن المجموعة نشطة منذ عام 2008 على الأقل، مستغلةً رسائل التصيد الاحتيالي التي تحتوي على مستندات Microsoft Office ضارة تستغل ثغرات أمنية مثل CVE-2012-0158 وCVE-2014-1761.

ترسانة البرمجيات الخبيثة: من برامج RAT إلى BADAUDIO

قامت APT24 بنشر مجموعة واسعة من عائلات البرامج الضارة:

• CT RAT
• M RAT (Goldsun-B)، وهو أحد أشكال Enfal/Lurid Downloader
• Paladin RAT و Leo RAT، متغيرات من Gh0st RAT
• الباب الخلفي تايدور (رودان)

يتميز برنامج BADAUDIO المُكتشف حديثًا بتطوره. فهو مكتوب بلغة C++، ويتميز بتشفير عالي، ويستخدم تقنية تسطيح تدفق التحكم لمقاومة الهندسة العكسية. يعمل البرنامج كمُنزِّل للمرحلة الأولى، قادر على استرداد وفك تشفير وتنفيذ حمولة مشفرة بتقنية AES من خادم قيادة وتحكم (C2) مُبرمج مسبقًا.

يعمل BADAUDIO عادةً كملف DLL ضار، مستغلاً اختطاف ترتيب بحث DLL للتنفيذ عبر تطبيقات شرعية. تُرسل الإصدارات الحديثة كأرشيفات مشفرة تحتوي على ملفات DLL إلى جانب ملفات VBS وBAT وLNK.

حملة BADAUDIO: التقنيات والتنفيذ

اعتمدت حملة BADAUDIO، المستمرة منذ نوفمبر 2022، على متجهات وصول أولية متعددة:

• أماكن الري
• التنازلات في سلسلة التوريد
• رسائل البريد الإلكتروني الاحتيالية

من عام 2022 إلى أوائل عام 2025، قامت APT24 باختراق أكثر من 20 موقعًا ويب شرعيًا، وحقن JavaScript الذي:

• الزائرون المستبعدون من أنظمة macOS وiOS وAndroid.
• تم إنشاء بصمات فريدة للمتصفح باستخدام FingerprintJS.
• تم عرض النوافذ المنبثقة التي تحث المستخدمين على تنزيل BADAUDIO متخفية في صورة تحديث لبرنامج Google Chrome.

في يوليو 2024، صعّدت المجموعة هجماتها بهجوم على سلسلة التوريد عبر شركة تسويق رقمي إقليمية في تايوان، حيث حقنت برمجيات جافا سكريبت خبيثة في مكتبة واسعة الانتشار. وقد أثر هذا على أكثر من 1000 نطاق.

استخدم الهجوم نطاق شبكة توصيل محتوى مُخترقًا لجلب نصوص برمجية يتحكم بها المهاجم، وأجهزة بصمة، وعرض نوافذ منبثقة مزيفة. أتاحت آلية تحميل النصوص البرمجية المشروطة، التي طُرِحت في يونيو 2025، استهدافًا مُخصصًا لكل نطاق على حدة، إلا أن عطلًا قصيرًا في أغسطس سمح باختراق جميع النطاقات الألف قبل إعادة فرض التقييد.

التصيد الاحتيالي المتقدم والهندسة الاجتماعية

منذ أغسطس 2024، شنّت APT24 حملات تصيد احتيالي مُستهدفة بدقة، مستخدمةً طُعومًا مثل منظمات إنقاذ الحيوانات. يتلقى الضحايا أرشيفات مُشفّرة تحتوي على BADAUDIO عبر Google Drive أو Microsoft OneDrive، مع وحدات بكسل تتبّع لرصد التفاعل وتحسين الهجمات.
إن الجمع بين التلاعب بسلسلة التوريد والهندسة الاجتماعية المتقدمة وإساءة استخدام الخدمات السحابية يوضح قدرة APT24 على التجسس المستمر والتكيف.

وتوضح عمليات APT24 التعقيد المتزايد للتهديدات السيبرانية المرتبطة بالدول، مما يؤكد على الحاجة إلى قيام المنظمات بتنفيذ مراقبة أمنية صارمة، والتحقق من سلامة البرامج، وتثقيف الموظفين حول مخاطر التصيد الاحتيالي وسلسلة التوريد المتطورة.