Rabattilbud med flere licenser
Trusseldatabase Malware BADAUDIO-malware

BADAUDIO-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsovervågning er fortsat afgørende, da trusselsaktører løbende forfiner deres taktikker og strategier. En gruppe med tilknytning til Kina kendt som APT24 har implementeret en tidligere udokumenteret malware kaldet BADAUDIO for at opretholde langsigtet adgang til målrettede netværk. Denne aktivitet er en del af en kampagne, der har strakt sig over næsten tre år, og som fremhæver de sofistikerede og adaptive metoder, der anvendes af avancerede vedvarende trusler (APT'er).

Fra brede angreb til målrettede operationer

I starten baserede APT24 sig på brede strategiske webangreb for at inficere legitime websteder. Med tiden har gruppen skiftet fokus mod mere præcis målretning, især organisationer i Taiwan. De vigtigste metoder omfatter:

  • Angreb på forsyningskæden, såsom gentagne angreb på et regionalt digitalt marketingfirma med det formål at distribuere ondsindede scripts.
  • Spear-phishing-kampagner rettet mod bestemte personer eller organisationer.

APT24, også kendt som Pitty Tiger, har historisk set fokuseret på sektorer som regering, sundhedsvæsen, byggeri og ingeniørvirksomhed, minedrift, nonprofitorganisationer og telekommunikation i USA og Taiwan. Der er beviser for, at gruppen har været aktiv siden mindst 2008 og udnytter phishing-e-mails, der indeholder ondsindede Microsoft Office-dokumenter, og som udnytter sårbarheder som CVE-2012-0158 og CVE-2014-1761.

Malware Arsenal: Fra RAT'er til BADAUDIO

APT24 har implementeret en bred vifte af malware-familier:

  • CT-ROTTE
  • M RAT (Goldsun-B), en variant af Enfal/Lurid Downloader
  • Paladin RAT og Leo RAT, varianter af Gh0st RAT
  • Taidoor (Roudan) bagdør

Den nyligt observerede BADAUDIO skiller sig ud ved sin sofistikering. Den er skrevet i C++, er meget obfuskeret og anvender kontrolflow-udjævning for at modstå reverse engineering. Den fungerer som en første-trins downloader, der er i stand til at hente, dekryptere og udføre en AES-krypteret nyttelast fra en hardcodet Command-and-Control (C2) server.

BADAUDIO fungerer typisk som en ondsindet DLL, der udnytter DLL Search Order Hijacking til at udføre kørsel via legitime applikationer. Nyere varianter leveres som krypterede arkiver, der indeholder DLL'er sammen med VBS-, BAT- og LNK-filer.

BADAUDIO-kampagnen: Teknikker og udførelse

BADAUDIO-kampagnen, der har været i gang siden november 2022, har været afhængig af flere indledende adgangsvektorer:

  • Vandhuller
  • Kompromisser i forsyningskæden
  • Spearphishing-e-mails

Fra 2022 til begyndelsen af 2025 kompromitterede APT24 over 20 legitime websteder og injicerede JavaScript, der:

  • Ekskluderede besøgende fra macOS, iOS og Android.
  • Genererede unikke browserfingeraftryk ved hjælp af FingerprintJS.
  • Viste pop op-vinduer, der opfordrede brugerne til at downloade BADAUDIO forklædt som en Google Chrome-opdatering.

I juli 2024 eskalerede gruppen med et forsyningskædeangreb via et regionalt digitalt marketingfirma i Taiwan, hvor skadelig JavaScript blev injiceret i et bredt distribueret bibliotek. Dette påvirkede mere end 1.000 domæner.

Angrebet brugte et typosquattet CDN-domæne til at hente angriberstyrede scripts, fingeraftryksmaskiner og vise falske pop op-vinduer. En betinget scriptindlæsningsmekanisme, der blev introduceret i juni 2025, muliggjorde skræddersyet målretning af individuelle domæner, selvom en kort pause i august tillod alle 1.000 domæner at blive kompromitteret, før begrænsningen blev genindført.

Avanceret phishing og social engineering

Siden august 2024 har APT24 gennemført meget målrettede phishing-kampagner ved hjælp af lokkemidler som f.eks. dyreredningsorganisationer. Ofrene modtager krypterede arkiver, der indeholder BADAUDIO, via Google Drive eller Microsoft OneDrive med sporingspixels til at overvåge engagement og optimere angreb.
Kombinationen af manipulation i forsyningskæden, avanceret social engineering og misbrug af cloudtjenester demonstrerer APT24's evne til vedvarende, adaptiv spionage.

APT24's operationer illustrerer den voksende kompleksitet af statsforbundne cybertrusler og understreger behovet for, at organisationer implementerer streng sikkerhedsovervågning, verificerer softwareintegritet og uddanner personale om sofistikeret phishing og risici i forsyningskæden.

Trending

Mest sete

Indlæser...