BADAUDIO मैलवेयर

साइबर सुरक्षा सतर्कता ज़रूरी बनी हुई है क्योंकि ख़तरा पैदा करने वाले लगातार अपनी रणनीति और रणनीतियों में सुधार कर रहे हैं। चीन से जुड़ा एक समूह, जिसे APT24 के नाम से जाना जाता है, लक्षित नेटवर्क तक दीर्घकालिक पहुँच बनाए रखने के लिए BADAUDIO नामक एक पूर्व-अज्ञात मैलवेयर का इस्तेमाल कर रहा है। यह गतिविधि लगभग तीन वर्षों से चल रहे एक अभियान का हिस्सा है, जो उन्नत सतत ख़तरों (APT) द्वारा इस्तेमाल किए जाने वाले परिष्कृत और अनुकूलनीय तरीकों पर प्रकाश डालता है।

व्यापक हमलों से लेकर लक्षित अभियानों तक

शुरुआत में, APT24 वैध वेबसाइटों को संक्रमित करने के लिए व्यापक रणनीतिक वेब समझौतों पर निर्भर था। समय के साथ, समूह ने अपना ध्यान अधिक सटीक लक्ष्यीकरण की ओर केंद्रित किया है, खासकर ताइवान के संगठनों पर। प्रमुख तरीकों में शामिल हैं:

• आपूर्ति श्रृंखला हमले, जैसे दुर्भावनापूर्ण स्क्रिप्ट वितरित करने के लिए किसी क्षेत्रीय डिजिटल मार्केटिंग फर्म पर बार-बार हमला करना।
• विशिष्ट व्यक्तियों या संगठनों को लक्ष्य बनाकर चलाए जाने वाले स्पीयर-फ़िशिंग अभियान।

पिटी टाइगर के नाम से भी जाना जाने वाला APT24, ऐतिहासिक रूप से अमेरिका और ताइवान में सरकारी, स्वास्थ्य सेवा, निर्माण और इंजीनियरिंग, खनन, गैर-लाभकारी संस्थाओं और दूरसंचार जैसे क्षेत्रों में सक्रिय रहा है। साक्ष्य बताते हैं कि यह समूह कम से कम 2008 से सक्रिय है और दुर्भावनापूर्ण Microsoft Office दस्तावेज़ों वाले फ़िशिंग ईमेल का लाभ उठाता है, जो CVE-2012-0158 और CVE-2014-1761 जैसी कमज़ोरियों का फ़ायदा उठाते हैं।

मैलवेयर शस्त्रागार: RATs से BADAUDIO तक

APT24 ने मैलवेयर परिवारों की एक विस्तृत श्रृंखला तैनात की है:

• सीटी आरएटी
• एम रैट (गोल्डसन-बी), एनफाल/ल्यूरिड डाउनलोडर का एक प्रकार
• पैलाडिन रैट और लियो रैट, घोस्ट रैट के प्रकार
• तैदूर (रौदान) पिछला दरवाज़ा

हाल ही में देखा गया BADAUDIO अपनी परिष्कृतता के लिए जाना जाता है। C++ में लिखा गया, यह अत्यधिक अस्पष्ट है और रिवर्स इंजीनियरिंग का विरोध करने के लिए कंट्रोल फ्लो फ़्लैटनिंग का उपयोग करता है। यह एक प्रथम-चरण डाउनलोडर के रूप में कार्य करता है, जो एक हार्ड-कोडेड कमांड-एंड-कंट्रोल (C2) सर्वर से AES-एन्क्रिप्टेड पेलोड को पुनर्प्राप्त, डिक्रिप्ट और निष्पादित करने में सक्षम है।

BADAUDIO आमतौर पर एक दुर्भावनापूर्ण DLL के रूप में कार्य करता है, जो वैध अनुप्रयोगों के माध्यम से निष्पादन के लिए DLL खोज क्रम अपहरण का लाभ उठाता है। इसके नवीनतम संस्करण एन्क्रिप्टेड अभिलेखागार के रूप में वितरित किए जाते हैं जिनमें VBS, BAT और LNK फ़ाइलों के साथ DLL होते हैं।

BADAUDIO अभियान: तकनीक और कार्यान्वयन

नवंबर 2022 से चल रहा BADAUDIO अभियान कई प्रारंभिक पहुँच वैक्टर पर निर्भर है:

• पानी के गड्ढे
• आपूर्ति श्रृंखला समझौता
• स्पीयर-फ़िशिंग ईमेल

2022 से 2025 के प्रारंभ तक, APT24 ने 20 से अधिक वैध वेबसाइटों को खतरे में डाला, उनमें जावास्क्रिप्ट इंजेक्ट किया:

• macOS, iOS और Android से आने वाले आगंतुकों को बाहर रखा गया।
• फ़िंगरप्रिंटजेएस का उपयोग करके अद्वितीय ब्राउज़र फ़िंगरप्रिंट उत्पन्न किए गए।
• प्रदर्शित पॉप-अप में उपयोगकर्ताओं से गूगल क्रोम अपडेट के रूप में BADAUDIO डाउनलोड करने का आग्रह किया गया।

जुलाई 2024 में, इस समूह ने ताइवान की एक क्षेत्रीय डिजिटल मार्केटिंग फर्म के ज़रिए सप्लाई चेन पर हमला किया और व्यापक रूप से वितरित लाइब्रेरी में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट कर दी। इससे 1,000 से ज़्यादा डोमेन प्रभावित हुए।

इस हमले में टाइपोस्क्वैटेड CDN डोमेन का इस्तेमाल हमलावर-नियंत्रित स्क्रिप्ट, फ़िंगरप्रिंट मशीनें लाने और नकली पॉप-अप दिखाने के लिए किया गया था। जून 2025 में शुरू की गई एक सशर्त स्क्रिप्ट लोडिंग प्रणाली ने अलग-अलग डोमेन को लक्षित करने की सुविधा प्रदान की, हालाँकि अगस्त में एक छोटी सी चूक के कारण प्रतिबंध बहाल होने से पहले सभी 1,000 डोमेन को खतरे में डाल दिया गया।

उन्नत फ़िशिंग और सोशल इंजीनियरिंग

अगस्त 2024 से, APT24 ने पशु बचाव संगठनों जैसे प्रलोभनों का इस्तेमाल करते हुए, अत्यधिक लक्षित फ़िशिंग अभियान चलाए हैं। पीड़ितों को Google ड्राइव या Microsoft OneDrive के माध्यम से BADAUDIO युक्त एन्क्रिप्टेड अभिलेखागार प्राप्त होते हैं, जिनमें संलग्नता की निगरानी और हमलों को अनुकूलित करने के लिए ट्रैकिंग पिक्सेल होते हैं।
आपूर्ति श्रृंखला हेरफेर, उन्नत सामाजिक इंजीनियरिंग और क्लाउड सेवा दुरुपयोग का संयोजन APT24 की सतत, अनुकूली जासूसी की क्षमता को प्रदर्शित करता है।

एपीटी24 का परिचालन राज्य से जुड़े साइबर खतरों की बढ़ती जटिलता को दर्शाता है, तथा संगठनों के लिए कठोर सुरक्षा निगरानी लागू करने, सॉफ्टवेयर अखंडता को सत्यापित करने, तथा परिष्कृत फ़िशिंग और आपूर्ति श्रृंखला जोखिमों पर कर्मियों को शिक्षित करने की आवश्यकता पर बल देता है।