Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер BADAUDIO

Зловреден софтуер BADAUDIO

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Бдителността по отношение на киберсигурността остава от съществено значение, тъй като злонамерените лица непрекъснато усъвършенстват своите тактики и стратегии. Свързана с Китай група, известна като APT24, внедрява досега недокументиран зловреден софтуер, наречен BADAUDIO, за да поддържа дългосрочен достъп до целевите мрежи. Тази дейност е част от кампания, която продължава близо три години и подчертава сложните и адаптивни методи, използвани от напредналите постоянни заплахи (APT).

От широкомащабни атаки до целенасочени операции

Първоначално APT24 разчиташе на широкообхватни стратегически уеб компромети, за да зарази легитимни уебсайтове. С течение на времето групата пренасочи фокуса си към по-прецизно таргетиране, особено организации в Тайван. Ключовите методи включват:

  • Атаки срещу веригата за доставки, като например многократни компрометации на регионална фирма за дигитален маркетинг с цел разпространение на злонамерени скриптове.
  • Кампании за фишинг, насочени към конкретни лица или организации.

APT24, известна още като Pitty Tiger, исторически се е фокусирала върху сектори, включително правителство, здравеопазване, строителство и инженерство, минно дело, организации с нестопанска цел и телекомуникации в САЩ и Тайван. Доказателствата сочат, че групата е активна поне от 2008 г., използвайки фишинг имейли, съдържащи злонамерени документи на Microsoft Office, които експлоатират уязвимости като CVE-2012-0158 и CVE-2014-1761.

Арсенал от зловреден софтуер: От RAT до BADAUDIO

APT24 е внедрил широк спектър от семейства злонамерен софтуер:

  • КТ ПЛЪХ
  • M RAT (Goldsun-B), вариант на Enfal/Lurid Downloader
  • Паладин RAT и Лъв RAT, варианти на Gh0st RAT
  • Задна вратичка Taidoor (Roudan)

Новооткритият BADAUDIO се откроява със своята изтънченост. Написан на C++, той е силно обфускиран и използва сплескване на контролния поток, за да се предпази от обратно инженерство. Действа като програма за изтегляне от първи етап, способна да извлича, декриптира и изпълнява AES-криптиран полезен товар от твърдо кодиран команден и контролен (C2) сървър.

BADAUDIO обикновено работи като злонамерен DLL файл, използвайки DLL Search Order Hijacking за изпълнение чрез легитимни приложения. Последните варианти се доставят като криптирани архиви, съдържащи DLL файлове, както и VBS, BAT и LNK файлове.

Кампанията BADAUDIO: Техники и изпълнение

Кампанията BADAUDIO, която продължава от ноември 2022 г., разчита на множество първоначални вектори за достъп:

  • Поилки
  • Компромиси с веригата за доставки
  • Имейли за фишинг

От 2022 г. до началото на 2025 г. APT24 е компрометирала над 20 легитимни уебсайта, инжектирайки JavaScript, който:

  • Изключени посетители от macOS, iOS и Android.
  • Генерирани уникални пръстови отпечатъци на браузъра с помощта на FingerprintJS.
  • Показани са изскачащи прозорци, призоваващи потребителите да изтеглят BADAUDIO, маскирани като актуализация на Google Chrome.

През юли 2024 г. групата ескалира с атака срещу веригата за доставки чрез регионална фирма за дигитален маркетинг в Тайван, инжектирайки злонамерен JavaScript в широко разпространена библиотека. Това засегна повече от 1000 домейна.

Атаката използваше CDN домейн с правописна грешка, за да извлича контролирани от нападателя скриптове, машини за пръстови отпечатъци и да показва фалшиви изскачащи прозорци. Механизъм за условно зареждане на скриптове, въведен през юни 2025 г., позволи персонализирано насочване към отделни домейни, въпреки че кратък прекъсване през август позволи компрометирането на всички 1000 домейна, преди ограничението да бъде възстановено.

Разширен фишинг и социално инженерство

От август 2024 г. APT24 провежда силно насочени фишинг кампании, използвайки примамки като организации за спасяване на животни. Жертвите получават криптирани архиви, съдържащи BADAUDIO, чрез Google Drive или Microsoft OneDrive, с пиксели за проследяване, за да наблюдават ангажираността и да оптимизират атаките.
Комбинацията от манипулиране на веригата за доставки, усъвършенствано социално инженерство и злоупотреба с облачни услуги демонстрира способността на APT24 за постоянен, адаптивен шпионаж.

Операциите на APT24 илюстрират нарастващата сложност на киберзаплахите, свързани с държавата, подчертавайки необходимостта организациите да прилагат строг мониторинг на сигурността, да проверяват целостта на софтуера и да обучават персонала относно сложните рискове, свързани с фишинг и веригата за доставки.

Тенденция

Задна вратичка TAMECAT

Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни врати
Вълна от шпионска дейност, свързана с иранската държавна групировка APT42, се появи, като анализаторите наблюдават целенасочени усилия срещу лица и организации, свързани с интересите на Корпуса на...

Входящо съобщение е спряно - измама

Фишинг, Спам
Киберпрестъпниците продължават да усъвършенстват измами, базирани на имейли, а измамата „Входящо съобщение е на пауза“ е пореден пример за това как убедително съставеният спам може да примами нищо неподозиращи получатели. Тези измамни сигнали лъжливо твърдят, че съобщенията се скриват от вашата пощенска кутия и се опитват да ви насочат към фишинг страница. Важно е да се разбере, че тези имейли...

Най-гледан

Зареждане...