Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara BADAUDIO pahavara

BADAUDIO pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Küberturvalisuse valvsus on endiselt oluline, kuna ohutegijad täiustavad pidevalt oma taktikaid ja strateegiaid. Hiinaga seotud rühmitus APT24 on kasutanud varem dokumenteerimata pahavara nimega BADAUDIO, et säilitada pikaajaline juurdepääs sihitud võrkudele. See tegevus on osa peaaegu kolm aastat kestnud kampaaniast, mis toob esile edasijõudnud püsivate ohtude (APT-de) keerukad ja kohanemisvõimelised meetodid.

Laiaulatuslikest rünnakutest sihipäraste operatsioonideni

Algselt tugines APT24 laiaulatuslikele strateegilistele veebirünnakutele, et nakatada legitiimseid veebisaite. Aja jooksul on rühmitus nihutanud oma fookust täpsemale sihtimisele, eriti Taiwani organisatsioonide sihtimisele. Peamised meetodid hõlmavad järgmist:

  • Tarneahela rünnakud, näiteks piirkondliku digitaalturundusfirma korduvad ohustamised pahatahtlike skriptide levitamiseks.
  • Spear-phishing kampaaniad, mis on suunatud konkreetsetele isikutele või organisatsioonidele.

APT24, tuntud ka kui Pitty Tiger, on ajalooliselt keskendunud sektoritele, sealhulgas valitsus, tervishoid, ehitus ja inseneriteadus, kaevandamine, mittetulundusühingud ja telekommunikatsioon USA-s ja Taiwanis. Tõendid viitavad sellele, et rühmitus on tegutsenud vähemalt alates 2008. aastast, kasutades ära andmepüügikirju, mis sisaldavad pahatahtlikke Microsoft Office'i dokumente, mis kasutavad ära selliseid haavatavusi nagu CVE-2012-0158 ja CVE-2014-1761.

Pahavara arsenal: RAT-idest BADAUDIO-ni

APT24 on kasutusele võtnud laia valiku pahavaraperekondi:

  • CT-rott
  • M RAT (Goldsun-B), Enfal/Lurid Downloaderi variant
  • Paladin RAT ja Leo RAT, Gh0st RATi variandid
  • Taidoori (Roudani) tagauks

Äsjaavastatud BADAUDIO paistab silma oma keerukuse poolest. See on kirjutatud C++ keeles, on äärmiselt hägustatud ja kasutab pöördprojekteerimise takistamiseks juhtimisvoo lamenemist. See toimib esimese etapi allalaadijana, mis on võimeline AES-krüptitud kasulikku koormust kõvakodeeritud Command-and-Control (C2) serverist hankima, dekrüpteerima ja käivitama.

BADAUDIO toimib tavaliselt pahatahtliku DLL-failina, mis kasutab DLL-i otsingujärjekorra kaaperdamist (DLL Search Order Hijacking) täitmiseks legitiimsete rakenduste kaudu. Uuemad variandid edastatakse krüpteeritud arhiividena, mis sisaldavad DLL-faile koos VBS-, BAT- ja LNK-failidega.

BADAUDIO kampaania: tehnikad ja teostus

Alates 2022. aasta novembrist kestnud BADAUDIO kampaania on toetunud mitmele esmasele juurdepääsuvektorile:

  • Kastmisaugud
  • Tarneahela kompromissid
  • Õngitsuskirjad

Aastatel 2022 kuni 2025. aasta alguseni rikkus APT24 üle 20 legitiimse veebisaidi, sisestades JavaScripti, mis:

  • macOS-i, iOS-i ja Androidi kasutajate välistatud loend.
  • FingerprintJS abil genereeriti unikaalsed brauseri sõrmejäljed.
  • Kuvas hüpikaknaid, mis kutsusid kasutajaid üles laadima alla BADAUDIO, mis oli maskeeritud Google Chrome'i värskenduseks.

2024. aasta juulis eskaleerus rühmitus tarneahelarünnakuga Taiwani piirkondliku digitaalse turunduse ettevõtte kaudu, süstides pahatahtlikku JavaScripti laialdaselt levinud teeki. See mõjutas enam kui 1000 domeeni.

Rünnakus kasutati ründaja kontrollitud skriptide, sõrmejälgede tuvastamise masinate ja võltsitud hüpikakende hankimiseks trükivigadega CDN-domeeni. 2025. aasta juunis kasutusele võetud tingimusliku skriptide laadimise mehhanism võimaldas üksikute domeenide sihtimist, kuigi lühike paus augustis võimaldas enne piirangu taastamist ohustada kõiki 1000 domeeni.

Täiustatud andmepüük ja sotsiaalne manipuleerimine

Alates 2024. aasta augustist on APT24 läbi viinud väga sihipäraseid andmepüügikampaaniaid, kasutades peibutisi nagu loomade päästmise organisatsioonid. Ohvrid saavad Google Drive'i või Microsoft OneDrive'i kaudu krüpteeritud arhiive, mis sisaldavad BADAUDIO-d, koos jälgimispikslitega tegevuse jälgimiseks ja rünnakute optimeerimiseks.
Tarneahela manipuleerimise, täiustatud sotsiaalse manipuleerimise ja pilveteenuste kuritarvitamise kombinatsioon näitab APT24 võimet püsivaks ja adaptiivseks spionaažiks.

APT24 tegevus illustreerib riikidega seotud küberohtude kasvavat keerukust, rõhutades vajadust, et organisatsioonid rakendaksid ranget turvaseiret, kontrolliksid tarkvara terviklikkust ning koolitaksid töötajaid keerukate andmepüügi- ja tarneahela riskide osas.

Trendikas

Enim vaadatud

Laadimine...