Preventivo sconto multi-licenza
Database delle minacce Malware Malware BADAUDIO

Malware BADAUDIO

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

La vigilanza sulla sicurezza informatica rimane essenziale, poiché gli autori delle minacce affinano continuamente le loro tattiche e strategie. Un gruppo legato alla Cina, noto come APT24, ha distribuito un malware precedentemente non documentato chiamato BADAUDIO per mantenere l'accesso a lungo termine alle reti prese di mira. Questa attività fa parte di una campagna durata quasi tre anni, che mette in luce i metodi sofisticati e adattivi utilizzati dalle minacce persistenti avanzate (APT).

Da attacchi su larga scala a operazioni mirate

Inizialmente, APT24 si basava su ampie compromissioni strategiche del web per infettare siti web legittimi. Nel tempo, il gruppo ha spostato l'attenzione verso obiettivi più precisi, in particolare contro organizzazioni a Taiwan. I metodi principali includono:

  • Attacchi alla catena di fornitura, come ripetuti attacchi a un'azienda regionale di marketing digitale per distribuire script dannosi.
  • Campagne di spear-phishing mirate a individui o organizzazioni specifici.

APT24, noto anche come Pitty Tiger, si è storicamente concentrato su settori quali governo, sanità, edilizia e ingegneria, estrazione mineraria, no-profit e telecomunicazioni negli Stati Uniti e a Taiwan. Le prove suggeriscono che il gruppo sia attivo almeno dal 2008, sfruttando email di phishing contenenti documenti Microsoft Office dannosi che sfruttano vulnerabilità come CVE-2012-0158 e CVE-2014-1761.

Arsenale di malware: dai RAT a BADAUDIO

APT24 ha distribuito un'ampia gamma di famiglie di malware:

  • TC RAT
  • M RAT (Goldsun-B), una variante di Enfal/Lurid Downloader
  • Paladin RAT e Leo RAT, varianti di Gh0st RAT
  • Taidoor (Roudan) porta sul retro

Il codice BADAUDIO, recentemente osservato, si distingue per la sua sofisticatezza. Scritto in C++, è altamente offuscato e utilizza il control flow flattening per resistere al reverse engineering. Funge da downloader di primo livello, in grado di recuperare, decifrare ed eseguire un payload crittografato con AES da un server di comando e controllo (C2) hard-coded.

BADAUDIO opera in genere come una DLL dannosa, sfruttando il dirottamento dell'ordine di ricerca delle DLL per l'esecuzione tramite applicazioni legittime. Le varianti più recenti vengono distribuite come archivi crittografati contenenti DLL insieme a file VBS, BAT e LNK.

La campagna BADAUDIO: tecniche ed esecuzione

La campagna BADAUDIO, in corso da novembre 2022, si è basata su molteplici vettori di accesso iniziale:

  • Abbeveratoi
  • Compromessi nella catena di fornitura
  • E-mail di spear-phishing

Dal 2022 all'inizio del 2025, APT24 ha compromesso oltre 20 siti web legittimi, iniettando JavaScript che:

  • Esclusi i visitatori da macOS, iOS e Android.
  • Generate impronte digitali uniche del browser utilizzando FingerprintJS.
  • Sono stati visualizzati pop-up che invitavano gli utenti a scaricare BADAUDIO camuffati da aggiornamento di Google Chrome.

Nel luglio 2024, il gruppo ha intensificato l'attacco alla supply chain tramite un'azienda di marketing digitale regionale di Taiwan, iniettando codice JavaScript dannoso in una libreria ampiamente distribuita. L'attacco ha interessato oltre 1.000 domini.

L'attacco ha utilizzato un dominio CDN typosquat per recuperare script controllati dall'aggressore, rilevare le impronte digitali dei dispositivi e pubblicare falsi pop-up. Un meccanismo di caricamento condizionale degli script introdotto a giugno 2025 ha consentito di indirizzare in modo mirato i singoli domini, sebbene una breve pausa ad agosto abbia consentito la compromissione di tutti i 1.000 domini prima che la restrizione venisse ripristinata.

Phishing avanzato e ingegneria sociale

Da agosto 2024, APT24 ha condotto campagne di phishing altamente mirate, utilizzando esche come organizzazioni per il soccorso degli animali. Le vittime ricevono archivi crittografati contenenti BADAUDIO tramite Google Drive o Microsoft OneDrive, con pixel di tracciamento per monitorare l'interazione e ottimizzare gli attacchi.
La combinazione di manipolazione della supply chain, ingegneria sociale avanzata e abuso dei servizi cloud dimostra la capacità di APT24 di effettuare uno spionaggio persistente e adattivo.

Le operazioni di APT24 illustrano la crescente complessità delle minacce informatiche legate allo Stato, sottolineando la necessità per le organizzazioni di implementare un rigoroso monitoraggio della sicurezza, verificare l'integrità del software e formare il personale sui rischi sofisticati del phishing e della catena di fornitura.

Tendenza

I più visti

Caricamento in corso...