بدافزار BADAUDIO

هوشیاری در برابر امنیت سایبری همچنان ضروری است، زیرا عاملان تهدید به طور مداوم تاکتیک‌ها و استراتژی‌های خود را اصلاح می‌کنند. یک گروه مرتبط با چین به نام APT24، بدافزاری به نام BADAUDIO را که قبلاً مستند نشده بود، برای حفظ دسترسی بلندمدت به شبکه‌های هدف به کار گرفته است. این فعالیت بخشی از یک کمپین است که تقریباً سه سال به طول انجامیده و روش‌های پیچیده و تطبیقی مورد استفاده توسط تهدیدات پیشرفته و مداوم (APT) را برجسته می‌کند.

از حملات گسترده تا عملیات هدفمند

در ابتدا، APT24 برای آلوده کردن وب‌سایت‌های قانونی به نفوذهای گسترده و استراتژیک وب متکی بود. با گذشت زمان، این گروه تمرکز خود را به سمت هدف‌گیری دقیق‌تر، به ویژه سازمان‌های تایوانی، تغییر داده است. روش‌های کلیدی عبارتند از:

• حملات زنجیره تأمین، مانند نفوذهای مکرر به یک شرکت بازاریابی دیجیتال منطقه‌ای برای توزیع اسکریپت‌های مخرب.
• کمپین‌های فیشینگ هدفمند که افراد یا سازمان‌های خاصی را هدف قرار می‌دهند.

گروه APT24 که با نام Pitty Tiger نیز شناخته می‌شود، از گذشته بر بخش‌هایی از جمله دولت، مراقبت‌های بهداشتی، ساخت و ساز و مهندسی، معدن، سازمان‌های غیرانتفاعی و مخابرات در ایالات متحده و تایوان تمرکز داشته است. شواهد نشان می‌دهد که این گروه حداقل از سال ۲۰۰۸ فعال بوده و از ایمیل‌های فیشینگ حاوی اسناد مخرب مایکروسافت آفیس که از آسیب‌پذیری‌هایی مانند CVE-2012-0158 و CVE-2014-1761 سوءاستفاده می‌کنند، استفاده می‌کند.

زرادخانه بدافزارها: از RATها تا BADAUDIO

APT24 طیف گسترده‌ای از خانواده‌های بدافزار را مستقر کرده است:

• سی تی رت
• M RAT (Goldsun-B)، گونه‌ای از Enfal/Lurid Downloader
• Paladin RAT و Leo RAT، انواع Gh0st RAT
• بکدور تایدور (رودان)

بدافزار BADAUDIO که به تازگی مشاهده شده است، به دلیل پیچیدگی‌اش متمایز است. این بدافزار که با زبان C++ نوشته شده، بسیار مبهم‌سازی شده و از مسطح‌سازی جریان کنترل برای مقاومت در برابر مهندسی معکوس استفاده می‌کند. این بدافزار به عنوان یک دانلودکننده مرحله اول عمل می‌کند و قادر به بازیابی، رمزگشایی و اجرای یک payload رمزگذاری شده با AES از یک سرور Command-and-Control (C2) با کد ثابت است.

BADAUDIO معمولاً به عنوان یک DLL مخرب عمل می‌کند و از DLL Search Order Hijacking برای اجرا از طریق برنامه‌های قانونی استفاده می‌کند. انواع اخیر به صورت آرشیوهای رمزگذاری شده حاوی DLLها در کنار فایل‌های VBS، BAT و LNK ارائه می‌شوند.

کمپین BADAUDIO: تکنیک‌ها و اجرا

کمپین BADAUDIO که از نوامبر ۲۰۲۲ ادامه دارد، بر چندین بردار دسترسی اولیه متکی بوده است:

• چاله‌های آبیاری
• سازش‌های زنجیره تأمین
• ایمیل‌های فیشینگ هدفمند

از سال ۲۰۲۲ تا اوایل ۲۰۲۵، APT24 بیش از ۲۰ وب‌سایت قانونی را به خطر انداخت و جاوا اسکریپتی را تزریق کرد که:

• بازدیدکنندگان از macOS، iOS و اندروید را مستثنی کرد.
• با استفاده از FingerprintJS اثر انگشت‌های مرورگر منحصر به فردی ایجاد شد.
• پنجره‌های بازشو (پاپ‌آپ) نمایش داده می‌شد که کاربران را به دانلود BADAUDIO در قالب به‌روزرسانی گوگل کروم ترغیب می‌کرد.

در ژوئیه ۲۰۲۴، این گروه با حمله‌ای به زنجیره تأمین از طریق یک شرکت بازاریابی دیجیتال منطقه‌ای در تایوان، فعالیت خود را گسترش داد و جاوا اسکریپت مخرب را به یک کتابخانه توزیع‌شده تزریق کرد. این حمله بیش از ۱۰۰۰ دامنه را تحت تأثیر قرار داد.

این حمله از یک دامنه CDN با خطای تایپی برای دریافت اسکریپت‌های تحت کنترل مهاجم، دستگاه‌های اثر انگشت و نمایش پاپ‌آپ‌های جعلی استفاده کرد. یک مکانیسم بارگذاری اسکریپت شرطی که در ژوئن ۲۰۲۵ معرفی شد، امکان هدف‌گیری سفارشی دامنه‌های منفرد را فراهم کرد، اگرچه یک وقفه کوتاه در ماه اوت باعث شد که قبل از بازگرداندن محدودیت، هر ۱۰۰۰ دامنه در معرض خطر قرار گیرند.

فیشینگ پیشرفته و مهندسی اجتماعی

از آگوست ۲۰۲۴، APT24 با استفاده از طعمه‌هایی مانند سازمان‌های نجات حیوانات، کمپین‌های فیشینگ بسیار هدفمندی را هدایت کرده است. قربانیان از طریق گوگل درایو یا مایکروسافت وان درایو، آرشیوهای رمزگذاری شده حاوی BADAUDIO را دریافت می‌کنند که دارای پیکسل‌های ردیابی برای نظارت بر تعامل و بهینه‌سازی حملات است.
ترکیبی از دستکاری زنجیره تأمین، مهندسی اجتماعی پیشرفته و سوءاستفاده از خدمات ابری، توانایی APT24 را برای جاسوسی مداوم و تطبیقی نشان می‌دهد.

عملیات APT24 پیچیدگی فزاینده تهدیدات سایبری مرتبط با دولت را نشان می‌دهد و بر لزوم اجرای نظارت امنیتی دقیق توسط سازمان‌ها، تأیید یکپارچگی نرم‌افزار و آموزش پرسنل در مورد خطرات پیچیده فیشینگ و زنجیره تأمین تأکید می‌کند.