Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware BADAUDIO

Malware BADAUDIO

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Kybernetická ostražitost je i nadále nezbytná, protože útočníci neustále zdokonalují své taktiky a strategie. Skupina APT24, napojená na Čínu, nasazovala dříve nezdokumentovaný malware s názvem BADAUDIO, aby si udržela dlouhodobý přístup k cílovým sítím. Tato aktivita je součástí kampaně, která trvá téměř tři roky a zdůrazňuje sofistikované a adaptivní metody používané pokročilými perzistentními hrozbami (APT).

Od rozsáhlých útoků k cíleným operacím

Zpočátku se APT24 spoléhala na široké strategické webové kompromitace k infikování legitimních webových stránek. Postupem času se skupina přesunula k přesnějšímu cílení, zejména na organizace na Tchaj-wanu. Mezi klíčové metody patří:

  • Útoky na dodavatelský řetězec, jako například opakované kompromitace regionální firmy digitálního marketingu za účelem distribuce škodlivých skriptů.
  • Spear-phishingové kampaně zaměřené na konkrétní jednotlivce nebo organizace.

APT24, známá také jako Pitty Tiger, se historicky zaměřovala na odvětví, jako je vláda, zdravotnictví, stavebnictví a strojírenství, těžební průmysl, neziskové organizace a telekomunikace v USA a na Tchaj-wanu. Důkazy naznačují, že skupina je aktivní nejméně od roku 2008 a využívá phishingové e-maily obsahující škodlivé dokumenty Microsoft Office, které zneužívají zranitelnosti, jako jsou CVE-2012-0158 a CVE-2014-1761.

Arsenál malwaru: Od RATů po BADAUDIO

APT24 nasadil širokou škálu rodin malwaru:

  • CT RAT
  • M RAT (Goldsun-B), varianta Enfal/Lurid Downloaderu
  • Paladin RAT a Leo RAT, varianty Gh0st RAT
  • Zadní vrátka Taidoor (Roudan)

Nově objevený BADAUDIO vyniká svou sofistikovaností. Je napsán v jazyce C++, je vysoce obfuskovaný a využívá zploštění řídicího toku, aby odolal reverznímu inženýrství. Funguje jako stahovací program první fáze, schopný načíst, dešifrovat a spustit datový obsah šifrovaný AES z pevně naprogramovaného serveru Command-and-Control (C2).

BADAUDIO obvykle funguje jako škodlivá knihovna DLL a využívá k provádění prostřednictvím legitimních aplikací tzv. „dll search order hijacking“. Nedávné varianty jsou dodávány jako šifrované archivy obsahující knihovny DLL spolu se soubory VBS, BAT a LNK.

Kampaň BADAUDIO: Techniky a provedení

Kampaň BADAUDIO, která probíhá od listopadu 2022, se opírala o několik počátečních přístupových vektorů:

  • Napajedla
  • Kompromisy v dodavatelském řetězci
  • E-maily s spear phishingem

Od roku 2022 do začátku roku 2025 APT24 napadl více než 20 legitimních webových stránek a vložil do nich JavaScript, který:

  • Vyloučení návštěvníci z macOS, iOS a Androidu.
  • Vygenerovány unikátní otisky prstů prohlížeče pomocí FingerprintJS.
  • Zobrazovala vyskakovací okna vyzývající uživatele ke stažení aplikace BADAUDIO, maskovaná jako aktualizace prohlížeče Google Chrome.

V červenci 2024 skupina eskalovala útokem na dodavatelský řetězec prostřednictvím regionální firmy digitálního marketingu na Tchaj-wanu, kdy vložila škodlivý JavaScript do široce distribuované knihovny. To ovlivnilo více než 1 000 domén.

Útok použil doménu CDN s překlepem k načítání skriptů ovládaných útočníkem, strojů na otisky prstů a zobrazování falešných vyskakovacích oken. Mechanismus podmíněného načítání skriptů zavedený v červnu 2025 umožnil cílení na jednotlivé domény na míru, ačkoli krátká pauza v srpnu umožnila kompromitovat všech 1 000 domén, než bylo omezení obnoveno.

Pokročilý phishing a sociální inženýrství

Od srpna 2024 provádí APT24 cílené phishingové kampaně s využitím návnad, jako jsou organizace na záchranu zvířat. Oběti dostávají šifrované archivy obsahující BADAUDIO prostřednictvím Disku Google nebo Microsoft OneDrive, se sledovacími pixely pro sledování zapojení a optimalizaci útoků.
Kombinace manipulace s dodavatelským řetězcem, pokročilého sociálního inženýrství a zneužívání cloudových služeb demonstruje schopnost APT24 provádět perzistentní a adaptivní špionáž.

Činnost APT24 ilustruje rostoucí složitost kybernetických hrozeb propojených se státy a zdůrazňuje potřebu, aby organizace zaváděly důsledné monitorování bezpečnosti, ověřovaly integritu softwaru a vzdělávaly personál o sofistikovaných phishingových a dodavatelských rizicích.

Trendy

Příchozí zpráva pozastavena – podvod

Phishing, Spam
Kyberzločinci neustále zdokonalují podvodné metody založené na e-mailech a podvod „Příchozí zpráva pozastavena“ je dalším příkladem toho, jak přesvědčivě vytvořený spam dokáže nalákat nic netušící příjemce. Tato podvodná upozornění falešně tvrdí, že zprávy jsou z vaší schránky zadržovány, a snaží se vás donutit k přesměrování na phishingovou stránku. Je nezbytné si uvědomit, že tyto e-maily...

Nejvíce shlédnuto

Načítání...