Κακόβουλο λογισμικό BADAUDIO
Η επαγρύπνηση στον τομέα της κυβερνοασφάλειας παραμένει απαραίτητη, καθώς οι απειλητικοί παράγοντες βελτιώνουν συνεχώς τις τακτικές και τις στρατηγικές τους. Μια ομάδα που συνδέεται με την Κίνα, γνωστή ως APT24, έχει αναπτύξει ένα προηγουμένως μη καταγεγραμμένο κακόβουλο λογισμικό που ονομάζεται BADAUDIO, για να διατηρήσει μακροπρόθεσμη πρόσβαση σε στοχευμένα δίκτυα. Αυτή η δραστηριότητα αποτελεί μέρος μιας εκστρατείας που εκτείνεται σχεδόν σε τρία χρόνια, υπογραμμίζοντας τις εξελιγμένες και προσαρμοστικές μεθόδους που χρησιμοποιούνται από τις προηγμένες επίμονες απειλές (APT).
Πίνακας περιεχομένων
Από ευρείες επιθέσεις σε στοχευμένες επιχειρήσεις
Αρχικά, η APT24 βασιζόταν σε ευρείες στρατηγικές παραβιάσεις ιστού για να μολύνει νόμιμους ιστότοπους. Με την πάροδο του χρόνου, η ομάδα έχει στρέψει την προσοχή της σε πιο ακριβή στόχευση, ιδίως σε οργανισμούς στην Ταϊβάν. Οι βασικές μέθοδοι περιλαμβάνουν:
- Επιθέσεις στην εφοδιαστική αλυσίδα, όπως επαναλαμβανόμενες παραβιάσεις μιας περιφερειακής εταιρείας ψηφιακού μάρκετινγκ για τη διανομή κακόβουλων σεναρίων.
- Καμπάνιες ηλεκτρονικού "ψαρέματος" (spear-phishing) που στοχεύουν συγκεκριμένα άτομα ή οργανισμούς.
Η APT24, γνωστή και ως Pitty Tiger, ιστορικά επικεντρώνεται σε τομείς όπως η κυβέρνηση, η υγειονομική περίθαλψη, οι κατασκευές και η μηχανική, η εξόρυξη, οι μη κερδοσκοπικοί οργανισμοί και οι τηλεπικοινωνίες στις ΗΠΑ και την Ταϊβάν. Τα στοιχεία δείχνουν ότι η ομάδα δραστηριοποιείται τουλάχιστον από το 2008, αξιοποιώντας email ηλεκτρονικού "ψαρέματος" (phishing) που περιέχουν κακόβουλα έγγραφα του Microsoft Office και εκμεταλλεύονται ευπάθειες όπως τα CVE-2012-0158 και CVE-2014-1761.
Οπλοστάσιο κακόβουλου λογισμικού: Από τα RAT στο BADAUDIO
Το APT24 έχει αναπτύξει ένα ευρύ φάσμα οικογενειών κακόβουλου λογισμικού:
- CT RAT
- M RAT (Goldsun-B), μια παραλλαγή του Enfal/Lurid Downloader
- Paladin RAT και Leo RAT, παραλλαγές του Gh0st RAT
- Κερκόπορτα Taidoor (Roudan)
Το πρόσφατα παρατηρημένο BADAUDIO ξεχωρίζει για την πολυπλοκότητά του. Γραμμένο σε C++, είναι ιδιαίτερα ασαφές και χρησιμοποιεί ισοπέδωση ροής ελέγχου για να αντισταθεί στην αντίστροφη μηχανική. Λειτουργεί ως πρόγραμμα λήψης πρώτου σταδίου, ικανό να ανακτά, να αποκρυπτογραφεί και να εκτελεί ένα κρυπτογραφημένο με AES ωφέλιμο φορτίο από έναν σκληρά κωδικοποιημένο διακομιστή Command-and-Control (C2).
Το BADAUDIO λειτουργεί συνήθως ως κακόβουλο DLL, αξιοποιώντας την παραβίαση εντολών αναζήτησης DLL για εκτέλεση μέσω νόμιμων εφαρμογών. Οι πρόσφατες παραλλαγές παραδίδονται ως κρυπτογραφημένα αρχεία που περιέχουν DLL μαζί με αρχεία VBS, BAT και LNK.
Η καμπάνια BADAUDIO: Τεχνικές και εκτέλεση
Η καμπάνια BADAUDIO, η οποία βρίσκεται σε εξέλιξη από τον Νοέμβριο του 2022, βασίστηκε σε πολλαπλούς αρχικούς φορείς πρόσβασης:
- Ποτιστήρια
- Συμβιβασμοί στην εφοδιαστική αλυσίδα
- Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (spear-phishing)
Από το 2022 έως τις αρχές του 2025, η APT24 παραβίασε πάνω από 20 νόμιμους ιστότοπους, εισάγοντας JavaScript που:
- Εξαιρούνται επισκέπτες από macOS, iOS και Android.
- Δημιουργήθηκαν μοναδικά δακτυλικά αποτυπώματα προγράμματος περιήγησης χρησιμοποιώντας το FingerprintJS.
- Εμφανίζονταν αναδυόμενα παράθυρα που παρότρυναν τους χρήστες να κατεβάσουν το BADAUDIO, μεταμφιεσμένα σε ενημέρωση του Google Chrome.
Τον Ιούλιο του 2024, η ομάδα κλιμάκωσε την δραματικότητα της με μια επίθεση στην αλυσίδα εφοδιασμού μέσω μιας περιφερειακής εταιρείας ψηφιακού μάρκετινγκ στην Ταϊβάν, εισάγοντας κακόβουλο JavaScript σε μια ευρέως διαδεδομένη βιβλιοθήκη. Αυτό επηρέασε περισσότερους από 1.000 τομείς.
Η επίθεση χρησιμοποίησε έναν τομέα CDN που είχε υποστεί typosquatting για να ανακτήσει σενάρια που ελέγχονταν από τον εισβολέα, μηχανήματα δακτυλικών αποτυπωμάτων και να εμφανίσει ψεύτικα αναδυόμενα παράθυρα. Ένας μηχανισμός φόρτωσης σεναρίων υπό όρους που εισήχθη τον Ιούνιο του 2025 επέτρεψε την προσαρμοσμένη στόχευση μεμονωμένων τομέων, αν και μια σύντομη παύση τον Αύγουστο επέτρεψε την παραβίαση και των 1.000 τομέων πριν από την επαναφορά του περιορισμού.
Προηγμένο ηλεκτρονικό ψάρεμα (phishing) και κοινωνική μηχανική (social engineering)
Από τον Αύγουστο του 2024, η APT24 διεξάγει εξαιρετικά στοχευμένες εκστρατείες ηλεκτρονικού "ψαρέματος" (phishing), χρησιμοποιώντας δολώματα όπως οργανώσεις διάσωσης ζώων. Τα θύματα λαμβάνουν κρυπτογραφημένα αρχεία που περιέχουν BADAUDIO μέσω του Google Drive ή του Microsoft OneDrive, με pixel παρακολούθησης για την παρακολούθηση της αλληλεπίδρασης και τη βελτιστοποίηση των επιθέσεων.
Ο συνδυασμός χειραγώγησης της εφοδιαστικής αλυσίδας, προηγμένης κοινωνικής μηχανικής και κατάχρησης υπηρεσιών cloud καταδεικνύει την ικανότητα της APT24 για επίμονη, προσαρμοστική κατασκοπεία.
Οι δραστηριότητες της APT24 καταδεικνύουν την αυξανόμενη πολυπλοκότητα των κυβερνοαπειλών που συνδέονται με κρατικά μέσα, τονίζοντας την ανάγκη οι οργανισμοί να εφαρμόζουν αυστηρή παρακολούθηση της ασφάλειας, να επαληθεύουν την ακεραιότητα του λογισμικού και να εκπαιδεύουν το προσωπικό τους σχετικά με τους εξελιγμένους κινδύνους ηλεκτρονικού "ψαρέματος" (phishing) και της εφοδιαστικής αλυσίδας.
