Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de BADAUDIO

Programari maliciós de BADAUDIO

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

La vigilància en ciberseguretat continua sent essencial, ja que els actors d'amenaces refinen contínuament les seves tàctiques i estratègies. Un grup vinculat a la Xina conegut com APT24 ha estat implementant un programari maliciós prèviament indocumentat anomenat BADAUDIO per mantenir l'accés a llarg termini a xarxes objectiu. Aquesta activitat forma part d'una campanya que ha durat gairebé tres anys, destacant els mètodes sofisticats i adaptatius utilitzats per les amenaces persistents avançades (APT).

D’atacs generals a operacions dirigides

Inicialment, APT24 es basava en atacs web estratègics generals per infectar llocs web legítims. Amb el temps, el grup ha canviat el seu enfocament cap a una focalització més precisa, especialment organitzacions de Taiwan. Els mètodes clau inclouen:

  • Atacs a la cadena de subministrament, com ara compromisos repetits d'una empresa regional de màrqueting digital per distribuir scripts maliciosos.
  • Campanyes de spear-phishing dirigides a individus o organitzacions específiques.

APT24, també conegut com a Pitty Tiger, s'ha centrat històricament en sectors com el govern, la salut, la construcció i l'enginyeria, la mineria, les organitzacions sense ànim de lucre i les telecomunicacions als EUA i Taiwan. L'evidència suggereix que el grup ha estat actiu des d'almenys el 2008, aprofitant correus electrònics de phishing que contenen documents maliciosos de Microsoft Office que exploten vulnerabilitats com ara CVE-2012-0158 i CVE-2014-1761.

Arsenal de programari maliciós: de RAT a BADAUDIO

APT24 ha desplegat una àmplia gamma de famílies de programari maliciós:

  • TC RAT
  • M RAT (Goldsun-B), una variant d'Enfal/Lurid Downloader
  • Paladí RAT i Leo RAT, variants de Gh0st RAT
  • Porta del darrere Taidoor (Roudan)

El BADAUDIO recentment observat destaca per la seva sofisticació. Escrit en C++, està altament ofuscat i utilitza l'aplanament del flux de control per resistir l'enginyeria inversa. Actua com un descarregador de primera etapa, capaç de recuperar, desxifrar i executar una càrrega útil xifrada amb AES des d'un servidor de comandament i control (C2) codificat.

BADAUDIO normalment funciona com una DLL maliciosa, aprofitant el segrest d'ordres de cerca de DLL per a l'execució a través d'aplicacions legítimes. Les variants recents es lliuren com a arxius xifrats que contenen DLL juntament amb fitxers VBS, BAT i LNK.

La campanya BADAUDIO: tècniques i execució

La campanya BADAUDIO, en curs des del novembre del 2022, s'ha basat en múltiples vectors d'accés inicials:

  • Abeuradors
  • Compromisos de la cadena de subministrament
  • Correus electrònics de spear phishing

Des del 2022 fins a principis del 2025, APT24 va comprometre més de 20 llocs web legítims, injectant JavaScript que:

  • Visitants exclosos de macOS, iOS i Android.
  • S'han generat empremtes digitals úniques del navegador mitjançant FingerprintJS.
  • Mostrava finestres emergents que instaven els usuaris a descarregar BADAUDIO disfressat d'una actualització de Google Chrome.

El juliol de 2024, el grup va intensificar la seva pressió amb un atac a la cadena de subministrament a través d'una empresa regional de màrqueting digital a Taiwan, injectant JavaScript maliciós en una biblioteca àmpliament distribuïda. Això va afectar més de 1.000 dominis.

L'atac va utilitzar un domini CDN typosquatted per obtenir scripts controlats per l'atacant, màquines d'empremtes dactilars i servir finestres emergents falses. Un mecanisme de càrrega de scripts condicional introduït el juny de 2025 va permetre la segmentació personalitzada de dominis individuals, tot i que un breu lapse a l'agost va permetre que els 1.000 dominis es veiessin compromesos abans que es restableixi la restricció.

Phishing avançat i enginyeria social

Des de l'agost de 2024, APT24 ha dut a terme campanyes de phishing molt dirigides, utilitzant esquers com les organitzacions de rescat d'animals. Les víctimes reben arxius xifrats que contenen BADAUDIO a través de Google Drive o Microsoft OneDrive, amb píxels de seguiment per controlar la participació i optimitzar els atacs.
La combinació de manipulació de la cadena de subministrament, enginyeria social avançada i abús de serveis al núvol demostra la capacitat d'APT24 per a l'espionatge persistent i adaptatiu.

Les operacions d'APT24 il·lustren la creixent complexitat de les amenaces cibernètiques relacionades amb l'estat, i emfatitzen la necessitat que les organitzacions implementin un control de seguretat rigorós, verifiquin la integritat del programari i formin el personal sobre els riscos sofisticats de phishing i de la cadena de subministrament.

Tendència

Més vist

Carregant...