Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver BADAUDIO

Zlonamjerni softver BADAUDIO

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Kibernetički oprez i dalje je ključan jer akteri prijetnji kontinuirano usavršavaju svoje taktike i strategije. Skupina povezana s Kinom, poznata kao APT24, koristi prethodno nedokumentirani zlonamjerni softver pod nazivom BADAUDIO kako bi održala dugoročni pristup ciljanim mrežama. Ova aktivnost dio je kampanje koja traje gotovo tri godine, a ističe sofisticirane i prilagodljive metode koje koriste napredne perzistentne prijetnje (APT).

Od širokih napada do ciljanih operacija

U početku se APT24 oslanjao na široke strateške web kompromitacije kako bi zarazio legitimne web stranice. S vremenom je grupa preusmjerila fokus na preciznije ciljanje, posebno organizacija na Tajvanu. Ključne metode uključuju:

  • Napadi na lanac opskrbe, poput ponovljenih kompromitiranja regionalne tvrtke za digitalni marketing radi distribucije zlonamjernih skripti.
  • Kampanje krađe identiteta usmjerene na određene pojedince ili organizacije.

APT24, također poznat kao Pitty Tiger, povijesno se fokusirao na sektore uključujući vladu, zdravstvo, građevinarstvo i inženjerstvo, rudarstvo, neprofitne organizacije i telekomunikacije u SAD-u i Tajvanu. Dokazi upućuju na to da je grupa aktivna najmanje od 2008. godine, koristeći phishing e-poruke koje sadrže zlonamjerne dokumente Microsoft Officea koji iskorištavaju ranjivosti poput CVE-2012-0158 i CVE-2014-1761.

Arsenal zlonamjernog softvera: Od RAT-ova do BADAUDIO-a

APT24 je implementirao širok raspon obitelji zlonamjernog softvera:

  • CT RAT
  • M RAT (Goldsun-B), varijanta programa Enfal/Lurid Downloader
  • Paladin RAT i Leo RAT, varijante Gh0st RAT-a
  • Stražnja vrata Taidoor (Roudan)

Novootkriveni BADAUDIO ističe se svojom sofisticiranošću. Napisan u C++, vrlo je zamaskiran i koristi izravnavanje kontrolnog toka kako bi se spriječio obrnuti inženjering. Djeluje kao program za preuzimanje u prvom stupnju, sposoban za preuzimanje, dešifriranje i izvršavanje AES-šifriranog korisnog tereta s čvrsto kodiranog Command-and-Control (C2) poslužitelja.

BADAUDIO obično djeluje kao zlonamjerni DLL, koristeći otimanje DLL-ova za izvršavanje putem legitimnih aplikacija. Nedavne varijante isporučuju se kao šifrirane arhive koje sadrže DLL-ove uz VBS, BAT i LNK datoteke.

Kampanja BADAUDIO: Tehnike i izvedba

Kampanja BADAUDIO, koja traje od studenog 2022., oslanjala se na više početnih vektora pristupa:

  • Zalijevališta
  • Kompromisi u lancu opskrbe
  • E-poruke za krađu identiteta putem spear phishinga

Od 2022. do početka 2025. godine, APT24 je kompromitirao preko 20 legitimnih web stranica, ubrizgavajući JavaScript koji:

  • Isključeni posjetitelji s macOS-a, iOS-a i Androida.
  • Generirani su jedinstveni otisci prstiju preglednika pomoću FingerprintJS-a.
  • Prikazani su skočni prozori koji potiču korisnike na preuzimanje BADAUDIO-a prikriveni kao ažuriranje za Google Chrome.

U srpnju 2024., grupa je eskalirala napadom na lanac opskrbe putem regionalne tvrtke za digitalni marketing u Tajvanu, ubrizgavajući zlonamjerni JavaScript u široko distribuiranu biblioteku. To je utjecalo na više od 1000 domena.

U napadu je korištena CDN domena s tipografski pogrešnim kodom za dohvaćanje skripti koje kontrolira napadač, strojeva za otiske prstiju i posluživanje lažnih skočnih prozora. Mehanizam uvjetnog učitavanja skripti uveden u lipnju 2025. omogućio je prilagođeno ciljanje pojedinačnih domena, iako je kratki prekid u kolovozu omogućio kompromitiranje svih 1000 domena prije nego što je ograničenje ponovno uvedeno.

Napredni phishing i društveni inženjering

Od kolovoza 2024., APT24 provodi visoko ciljane phishing kampanje, koristeći mamce poput organizacija za spašavanje životinja. Žrtve primaju šifrirane arhive koje sadrže BADAUDIO putem Google diska ili Microsoft OneDrivea, s pikselima za praćenje kako bi se pratila interakcija i optimizirali napadi.
Kombinacija manipulacije lancem opskrbe, naprednog društvenog inženjeringa i zlouporabe usluga u oblaku pokazuje sposobnost APT24 za upornu, adaptivnu špijunažu.

APT24-ove operacije ilustriraju rastuću složenost kibernetičkih prijetnji povezanih s državom, naglašavajući potrebu da organizacije provedu rigorozan sigurnosni nadzor, provjere integritet softvera i educiraju osoblje o sofisticiranim phishing rizicima i rizicima u lancu opskrbe.

U trendu

Nagledanije

Učitavam...