תוכנות זדוניות של BADAUDIO

ערנות בתחום הסייבר נותרה חיונית, שכן גורמי איום משכללים ללא הרף את הטקטיקות והאסטרטגיות שלהם. קבוצה המקושרת לסין בשם APT24 פרסה תוכנה זדונית בשם BADAUDIO, שלא תועדה בעבר, כדי לשמור על גישה ארוכת טווח לרשתות ממוקדות. פעילות זו היא חלק מקמפיין שנמשך כמעט שלוש שנים, ומדגישה את השיטות המתוחכמות והאדפטיביות בהן משתמשים איומים מתמשכים מתקדמים (APTs).

מהתקפות רחבות היקף לפעולות ממוקדות

בתחילה, APT24 הסתמכה על פריצות אסטרטגיות רחבות היקף באינטרנט כדי להדביק אתרים לגיטימיים. עם הזמן, הקבוצה העבירה את המיקוד לכיוון מיקוד מדויק יותר, במיוחד לארגונים בטייוואן. השיטות העיקריות כוללות:

• התקפות בשרשרת האספקה, כגון פריצות חוזרות ונשנות לחברת שיווק דיגיטלי אזורית במטרה להפיץ סקריפטים זדוניים.
• קמפיינים של פישינג מסוג "ספיר פישינג" המכוונים לאנשים או ארגונים ספציפיים.

APT24, הידוע גם בשם Pitty Tiger, התמקדה באופן היסטורי במגזרים הכוללים ממשלה, שירותי בריאות, בנייה והנדסה, כרייה, מלכ"רים ותקשורת בארה"ב ובטייוואן. עדויות מצביעות על כך שהקבוצה פעילה מאז 2008 לפחות, ומנצלת הודעות דוא"ל פישינג המכילות מסמכי Microsoft Office זדוניים המנצלות פגיעויות כגון CVE-2012-0158 ו-CVE-2014-1761.

ארסנל תוכנות זדוניות: מ-RATs ל-BADAUDIO

APT24 פרסה מגוון רחב של משפחות תוכנות זדוניות:

• CT RAT
• M RAT (גולדסאן-B), גרסה של Enfal/Lurid Downloader
• פאלאדין RAT ו-Leo RAT, גרסאות של Gh0st RAT
• דלת אחורית של טאידור (רודן)

BADAUDIO, שנחשף לאחרונה, בולט בתחכומו. הוא כתוב ב-C++, מטושטש מאוד ומשתמש בשיטוח זרימת בקרה כדי להתנגד להנדסה הפוכה. הוא פועל כמפעיל מוריד בשלב הראשון, המסוגל לאחזר, לפענח ולהפעיל מטען מוצפן AES משרת Command-and-Control (C2) מקודד.

BADAUDIO פועל בדרך כלל כקובץ DLL זדוני, ומנצל את DLL Search Order Hijacking לביצוע באמצעות יישומים לגיטימיים. גרסאות עדכניות מסופקות כארכיונים מוצפנים המכילים קבצי DLL לצד קבצי VBS, BAT ו-LNK.

קמפיין BADAUDIO: טכניקות וביצוע

קמפיין BADAUDIO, הנמשך מאז נובמבר 2022, הסתמך על מספר וקטורי גישה ראשוניים:

• בורות מים
• פשרות בשרשרת האספקה
• מיילים של פישינג ספיר

משנת 2022 ועד תחילת 2025, APT24 פרץ ליותר מ-20 אתרים לגיטימיים, והחדיר קוד JavaScript ש:

• מבקרים לא כלולים מ-macOS, iOS ואנדרואיד.
• יצרתי טביעות אצבע ייחודיות בדפדפן באמצעות FingerprintJS.
• הציג חלונות קופצים שקוראים למשתמשים להוריד את BADAUDIO במסווה של עדכון של גוגל כרום.

ביולי 2024, הקבוצה הסלימה עם מתקפה על שרשרת האספקה דרך חברת שיווק דיגיטלי אזורית בטייוואן, שהחדירה קוד JavaScript זדוני לספרייה נרחבת. הדבר השפיע על יותר מ-1,000 דומיינים.

ההתקפה השתמשה בדומיין CDN מסוג typosquatt כדי לאחזר סקריפטים בשליטת התוקף, מכונות טביעת אצבע ולהגיש חלונות קופצים מזויפים. מנגנון טעינת סקריפטים מותנה שהוצג ביוני 2025 אפשר מיקוד מותאם אישית של דומיינים בודדים, אם כי הפסקה קצרה באוגוסט אפשרה לפגוע בכל 1,000 הדומיינים לפני שההגבלה הוחזרה.

פישינג מתקדם והנדסה חברתית

מאז אוגוסט 2024, APT24 מנהלת קמפיינים ממוקדים של פישינג, תוך שימוש בפיתיונות כמו ארגוני הצלת בעלי חיים. הקורבנות מקבלים ארכיונים מוצפנים המכילים את BADAUDIO דרך Google Drive או Microsoft OneDrive, עם פיקסלים למעקב כדי לנטר מעורבות ולמטב את ההתקפות.
השילוב של מניפולציה בשרשרת האספקה, הנדסה חברתית מתקדמת וניצול לרעה של שירותי ענן מדגים את יכולתה של APT24 לריגול מתמשך ואדפטיבי.

פעילותה של APT24 ממחישה את המורכבות הגוברת של איומי סייבר הקשורים למדינות, ומדגישה את הצורך של ארגונים ליישם ניטור אבטחה קפדני, לאמת את שלמות התוכנה ולחנך את הצוות בנוגע לסיכוני פישינג מתוחכמים וסיכוני שרשרת האספקה.