Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware BADAUDIO kártevő

BADAUDIO kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A kiberbiztonsági éberség továbbra is elengedhetetlen, mivel a fenyegetések elkövetői folyamatosan finomítják taktikáikat és stratégiáikat. Egy Kínához köthető APT24 nevű csoport egy korábban nem dokumentált, BADAUDIO nevű rosszindulatú programot telepített, hogy hosszú távon hozzáférjen a célzott hálózatokhoz. Ez a tevékenység egy közel három évig tartó kampány része, amely rávilágít a fejlett perzisztens fenyegetések (APT-k) által alkalmazott kifinomult és adaptív módszerekre.

A széles körű támadásoktól a célzott műveletekig

Az APT24 kezdetben széleskörű stratégiai webes behatolásokra támaszkodott a legitim weboldalak megfertőzéséhez. Idővel a csoport a pontosabb célzás felé terelte a hangsúlyt, különösen a tajvani szervezetek ellen. A főbb módszerek a következők:

  • Ellátási lánc elleni támadások, például egy regionális digitális marketingcég ismételt feltörése rosszindulatú szkriptek terjesztése céljából.
  • Adathalász kampányok, amelyek meghatározott személyeket vagy szervezeteket céloznak meg.

Az APT24, más néven Pitty Tiger, történelmileg az Egyesült Államokban és Tajvanon olyan szektorokra összpontosított, mint a kormányzat, az egészségügy, az építőipar és a mérnöki ipar, a bányászat, a nonprofit szervezetek és a telekommunikáció. A bizonyítékok arra utalnak, hogy a csoport legalább 2008 óta aktív, és olyan adathalász e-maileket használ ki, amelyek rosszindulatú Microsoft Office dokumentumokat tartalmaznak, és olyan sebezhetőségeket használnak ki, mint a CVE-2012-0158 és a CVE-2014-1761.

Kártevő Arzenál: A RAT-októl a BADAUDIO-ig

Az APT24 számos kártevőcsaládot telepített:

  • CT patkány
  • M RAT (Goldsun-B), az Enfal/Lurid Downloader egy változata
  • Paladin RAT és Leo RAT, a Gh0st RAT változatai
  • Taidoor (Roudan) hátsó ajtó

Az újonnan felfedezett BADAUDIO kifinomultságával tűnik ki. C++ nyelven íródott, erősen obfuszkált, és a visszafejtés megakadályozása érdekében a vezérlőfolyamat-laposodást alkalmazza. Első fokozatú letöltőként működik, képes lekérni, visszafejteni és végrehajtani egy AES-titkosított hasznos adatot egy fixen kódolt Command-and-Control (C2) szerverről.

A BADAUDIO jellemzően egy rosszindulatú DLL-ként működik, amely a DLL Search Order Hijacking technológiát használja ki legitim alkalmazásokon keresztüli végrehajtáshoz. A legújabb variánsok titkosított archívumokként érkeznek, amelyek DLL-eket, VBS, BAT és LNK fájlokat tartalmaznak.

A BADAUDIO kampány: technikák és kivitelezés

A 2022 novembere óta tartó BADAUDIO kampány több kezdeti hozzáférési vektorra támaszkodott:

  • Öntözőlyukak
  • Ellátási lánc kompromisszumai
  • Adathalász e-mailek

2022 és 2025 eleje között az APT24 több mint 20 legitim weboldalt támadott meg, olyan JavaScript kódot juttatva beléjük, amely:

  • Kizárt látogatók macOS, iOS és Android rendszerről.
  • Egyedi böngésző ujjlenyomatokat generált a FingerprintJS segítségével.
  • Felugró ablakokat jelenített meg, amelyek a BADAUDIO letöltésére sürgették a felhasználókat, Google Chrome frissítésnek álcázva.

2024 júliusában a csoport egy tajvani regionális digitális marketing cégen keresztül ellátási lánc támadással eszkalálódott, rosszindulatú JavaScript kódot juttatva egy széles körben elterjedt könyvtárba. Ez több mint 1000 domaint érintett.

A támadás egy elgépelésekkel módosított CDN-tartományt használt a támadó által vezérelt szkriptek, ujjlenyomat-leolvasók és hamis felugró ablakok lekérésére. Egy 2025 júniusában bevezetett feltételes szkriptbetöltési mechanizmus lehetővé tette az egyes domainek testreszabott célzását, bár egy rövid augusztusi szünet lehetővé tette mind az 1000 domain feltörését, mielőtt a korlátozást visszaállították.

Haladó szintű adathalászat és szociális manipuláció

2024 augusztusa óta az APT24 célzott adathalász kampányokat folytat, olyan csalikkal, mint az állatmentő szervezetek. Az áldozatok titkosított archívumokat kapnak, amelyek BADAUDIO-t tartalmaznak a Google Drive-on vagy a Microsoft OneDrive-on keresztül, nyomkövető pixelekkel az aktivitás monitorozására és a támadások optimalizálására.
Az ellátási lánc manipulációjának, a fejlett társadalmi manipulációnak és a felhőszolgáltatásokkal való visszaélésnek a kombinációja jól mutatja az APT24 képességét a tartós, adaptív kémkedésre.

Az APT24 működése jól mutatja az államokhoz köthető kiberfenyegetések növekvő összetettségét, hangsúlyozva annak szükségességét, hogy a szervezetek szigorú biztonsági monitorozást vezessenek be, ellenőrizzék a szoftverek integritását, és képezzék a személyzetet a kifinomult adathalászati és ellátási lánc kockázatairól.

Felkapott

Bejövő üzenet szüneteltetése – Átverés

Adathalászat, Spam
A kiberbűnözők folyamatosan finomítják az e-mail alapú megtévesztéseket, és a „Bejövő üzenetek szüneteltetése” átverés egy újabb példa arra, hogy a meggyőzően megfogalmazott spam hogyan csábíthatja a gyanútlan címzetteket. Ezek a csalárd riasztások hamisan azt állítják, hogy az üzeneteket visszatartják a beérkező levelek mappájából, és megpróbálják egy adathalász oldalra terelni Önt. Fontos...

Legnézettebb

Betöltés...