BADAUDIO-haittaohjelma
Kyberturvallisuuden valvonta on edelleen tärkeää, sillä uhkatoimijat hiovat jatkuvasti taktiikoitaan ja strategioitaan. Kiinaan kytköksissä oleva APT24-ryhmä on ottanut käyttöön aiemmin dokumentoimattoman BADAUDIO-nimisen haittaohjelman ylläpitääkseen pitkäaikaista pääsyä kohdennettuihin verkkoihin. Tämä toiminta on osa lähes kolme vuotta kestänyttä kampanjaa, joka korostaa edistyneiden jatkuvien uhkien (APT) käyttämiä hienostuneita ja mukautuvia menetelmiä.
Sisällysluettelo
Laajoista hyökkäyksistä kohdennettuihin operaatioihin
Aluksi APT24 luotti laajoihin strategisiin verkkohyökkäyksiin tartuttaakseen laillisia verkkosivustoja. Ajan myötä ryhmä on siirtänyt painopistettään tarkempaan kohdistamiseen, erityisesti Taiwanin organisaatioihin. Keskeisiä menetelmiä ovat:
- Toimitusketjuhyökkäykset, kuten alueellisen digitaalisen markkinointiyrityksen toistuvat tietomurrot haitallisten komentosarjojen levittämiseksi.
- Tietyille henkilöille tai organisaatioille kohdistetut keihäshuijauskampanjat.
APT24, joka tunnetaan myös nimellä Pitty Tiger, on historiallisesti keskittynyt Yhdysvaltojen ja Taiwanin aloille, kuten valtionhallinto, terveydenhuolto, rakentaminen ja konepajateollisuus, kaivostoiminta, voittoa tavoittelemattomat organisaatiot ja televiestintä. Tiedot viittaavat siihen, että ryhmä on ollut aktiivinen ainakin vuodesta 2008 lähtien ja hyödyntänyt tietojenkalastelusähköposteja, jotka sisältävät haitallisia Microsoft Office -asiakirjoja ja hyödyntävät haavoittuvuuksia, kuten CVE-2012-0158 ja CVE-2014-1761.
Haittaohjelmien arsenaali: RAT-haittaohjelmista BADAUDIOon
APT24 on ottanut käyttöön laajan valikoiman haittaohjelmaperheitä:
- CT-rotta
- M RAT (Goldsun-B), Enfal/Lurid Downloaderin muunnelma
- Paladin RAT ja Leo RAT, Gh0st RAT:n variantit
- Taidoorin (Roudanin) takaovi
Uusi BADAUDIO erottuu joukosta hienostuneisuudellaan. C++:lla kirjoitettu ohjelma on erittäin monimutkainen ja käyttää ohjausvuon litistämistä vastustaakseen takaisinmallintamista. Se toimii ensimmäisen vaiheen lataajana, joka pystyy hakemaan, purkamaan ja suorittamaan AES-salatun hyötykuorman kovakoodatulta Command-and-Control (C2) -palvelimelta.
BADAUDIO toimii tyypillisesti haitallisena DLL-tiedostona, joka hyödyntää DLL-hakujärjestyksen kaappausta suorittaakseen sen laillisten sovellusten kautta. Uudet variantit toimitetaan salattuina arkistoina, jotka sisältävät DLL-tiedostoja VBS-, BAT- ja LNK-tiedostojen ohella.
BADAUDIO-kampanja: Tekniikat ja toteutus
Marraskuusta 2022 lähtien käynnissä ollut BADAUDIO-kampanja on nojannut useisiin alkuvaiheen käyttövektoreihin:
- Juottopaikat
- Toimitusketjun kompromissit
- Keihäshuijaussähköpostit
Vuodesta 2022 vuoden 2025 alkuun APT24 vaaransi yli 20 laillista verkkosivustoa lisäämällä niille JavaScriptiä, joka:
- macOS:stä, iOS:stä ja Androidista tehdyt vierailijat pois suljettu.
- Luotiin yksilöllisiä selaimen sormenjälkiä FingerprintJS:n avulla.
- Näytti ponnahdusikkunoita, jotka kehottivat käyttäjiä lataamaan BADAUDIOn naamioituna Google Chromen päivitykseksi.
Heinäkuussa 2024 ryhmä laajeni toimitusketjuhyökkäyksellä taiwanilaisen alueellisen digitaalisen markkinoinnin yrityksen kautta, jossa haitallista JavaScriptiä syötettiin laajalti levinneeseen kirjastoon. Tämä vaikutti yli 1 000 verkkotunnukseen.
Hyökkäyksessä käytettiin typosquatted-koodillista CDN-verkkotunnusta hyökkääjän hallitsemien skriptien, sormenjälkitunnistimien ja väärennettyjen ponnahdusikkunoiden hakemiseen. Kesäkuussa 2025 käyttöön otettu ehdollinen skriptien latausmekanismi mahdollisti räätälöidyn kohdistamisen yksittäisiin verkkotunnuksiin, vaikka lyhyt tauko elokuussa mahdollisti kaikkien 1 000 verkkotunnuksen vaarantumisen ennen rajoituksen palauttamista.
Edistynyt tietojenkalastelu ja sosiaalinen manipulointi
Elokuusta 2024 lähtien APT24 on toteuttanut tarkasti kohdennettuja tietojenkalastelukampanjoita käyttäen houkuttimia, kuten eläinten pelastusjärjestöjä. Uhrit saavat salattuja BADAUDIO-tiedostoja sisältäviä arkistoja Google Driven tai Microsoft OneDriven kautta. Arkistoissa on seurantapikseleitä sitoutumisen seuraamiseksi ja hyökkäysten optimoimiseksi.
Toimitusketjun manipuloinnin, edistyneen sosiaalisen manipuloinnin ja pilvipalveluiden väärinkäytön yhdistelmä osoittaa APT24:n kyvyn jatkuvaan ja mukautuvaan vakoiluun.
APT24:n toiminta havainnollistaa valtioihin liittyvien kyberuhkien kasvavaa monimutkaisuutta ja korostaa organisaatioiden tarvetta ottaa käyttöön tiukka tietoturvavalvonta, varmistaa ohjelmistojen eheys ja kouluttaa henkilöstöä monimutkaisista tietojenkalastelu- ja toimitusketjuriskeistä.
