다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 BADAUDIO 악성코드

BADAUDIO 악성코드

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

위협 행위자들이 끊임없이 전술과 전략을 개선함에 따라 사이버 보안 경계는 여전히 필수적입니다. 중국과 연계된 APT24라는 그룹은 표적 네트워크에 대한 장기 접근을 유지하기 위해 이전에 문서화되지 않은 멀웨어인 BADAUDIO를 배포해 왔습니다. 이 활동은 거의 3년에 걸쳐 진행된 캠페인의 일환이며, 지능형 지속 위협(APT)이 사용하는 정교하고 적응력 있는 수법을 잘 보여줍니다.

광범위한 공격에서 표적 작전까지

APT24는 초기에는 합법적인 웹사이트를 감염시키기 위해 광범위한 전략적 웹 침해에 의존했습니다. 시간이 지남에 따라 APT24는 특히 대만의 조직을 대상으로 더욱 정밀한 표적 공격에 집중했습니다. 주요 공격 방법은 다음과 같습니다.

  • 지역 디지털 마케팅 회사를 반복적으로 침해하여 악성 스크립트를 배포하는 등 공급망 공격.
  • 특정 개인이나 조직을 표적으로 삼는 스피어피싱 캠페인.

APT24(피티 타이거라고도 함)는 역사적으로 미국과 대만의 정부, 의료, 건설 및 엔지니어링, 광업, 비영리 단체, 통신 등의 분야에 집중적으로 공격해 왔습니다. 증거에 따르면 이 그룹은 최소 2008년부터 활동해 왔으며, CVE-2012-0158 및 CVE-2014-1761과 같은 취약점을 악용하는 악성 Microsoft Office 문서가 포함된 피싱 이메일을 활용하고 있습니다.

악성코드 무기고: RAT부터 BADAUDIO까지

APT24는 다양한 맬웨어 제품군을 배포했습니다.

  • CT 쥐
  • M RAT(Goldsun-B), Enfal/Lurid Downloader의 변형
  • Paladin RAT 및 Leo RAT, Gh0st RAT의 변형
  • 타이도어(루단) 백도어

새롭게 발견된 BADAUDIO는 정교함이 돋보입니다. C++로 작성되었으며, 고도로 난독화되어 있고 제어 흐름 평탄화(CFL)를 사용하여 역공학을 방지합니다. 1단계 다운로더 역할을 하며, 하드코딩된 명령 및 제어(C2) 서버에서 AES로 암호화된 페이로드를 검색, 복호화 및 실행할 수 있습니다.

BADAUDIO는 일반적으로 악성 DLL로 작동하며, DLL 검색 순서 하이재킹(DLL Search Order Hijacking)을 활용하여 합법적인 애플리케이션을 통해 실행됩니다. 최근 변종은 VBS, BAT, LNK 파일과 함께 DLL을 포함하는 암호화된 아카이브 형태로 배포됩니다.

BADAUDIO 캠페인: 기술 및 실행

2022년 11월부터 진행 중인 BADAUDIO 캠페인은 여러 가지 초기 접근 벡터에 의존했습니다.

  • 물웅덩이
  • 공급망 손상
  • 스피어피싱 이메일

2022년부터 2025년 초까지 APT24는 20개 이상의 합법적인 웹사이트를 손상시키고 다음과 같은 JavaScript를 주입했습니다.

  • macOS, iOS, Android 방문자는 제외되었습니다.
  • FingerprintJS를 사용하여 고유한 브라우저 지문을 생성했습니다.
  • Google Chrome 업데이트로 위장하여 사용자에게 BADAUDIO를 다운로드하라고 촉구하는 팝업이 표시됩니다.

2024년 7월, 이 그룹은 대만의 한 지역 디지털 마케팅 회사를 통해 공급망 공격을 확대하여 널리 배포된 라이브러리에 악성 자바스크립트를 주입했습니다. 이로 인해 1,000개 이상의 도메인이 영향을 받았습니다.

이 공격은 타이포스쿼팅된 CDN 도메인을 사용하여 공격자가 제어하는 스크립트, 지문 인식기를 가져오고 가짜 팝업을 게재했습니다. 2025년 6월에 도입된 조건부 스크립트 로딩 메커니즘을 통해 개별 도메인에 대한 맞춤형 타겟팅이 가능했지만, 8월에 잠시 중단되어 제한이 다시 적용되기 전에 1,000개의 도메인이 모두 침해될 수 있었습니다.

고급 피싱 및 소셜 엔지니어링

APT24는 2024년 8월부터 동물 구조 단체 등의 미끼를 사용하여 고도로 표적화된 피싱 캠페인을 수행해 왔습니다. 피해자는 Google Drive 또는 Microsoft OneDrive를 통해 BADAUDIO가 포함된 암호화된 아카이브를 받게 되며, 추적 픽셀을 통해 참여를 모니터링하고 공격을 최적화합니다.
공급망 조작, 첨단 소셜 엔지니어링, 클라우드 서비스 남용이 결합된 것은 APT24가 지속적이고 적응적인 간첩 활동을 수행할 수 있는 역량을 보여준다.

APT24의 작전은 국가와 연계된 사이버 위협이 점점 더 복잡해지고 있음을 보여주며, 조직에서 엄격한 보안 모니터링을 구현하고, 소프트웨어 무결성을 검증하고, 정교한 피싱 및 공급망 위험에 대한 직원 교육을 실시해야 할 필요성을 강조합니다.

트렌드

TAMECAT 백도어

멀웨어, 지능형 지속 위협(APT), 백도어
이란 국가 지원 조직인 APT42와 관련된 첩보 활동이 잇따라 발생하면서 분석가들은 이란 혁명수비대(IRGC)의 이익과 연계된 개인 및 조직을 겨냥한 집중적인 노력을 관찰하고 있습니다. 2025년 9월 초 탐지되어 코드명 스피어스펙터(SpearSpecter)로 지정된 이 작전은 정보 수집을 목표로 한 사회 공학과 맞춤형 악성코드 배포가 정교하게 결합된...

모네로찬 에어드랍 사기

불량 웹사이트
오늘날 디지털 환경에서는 경계가 무엇보다 중요합니다. 사이버 범죄자들은 의심하지 않는 사용자를 악용하기 위해 끊임없이 새로운 수법을 고안하고 있기 때문입니다. 가장 빈번한 표적 중 하나는 암호화폐 애호가들인데, 이들은 디지털 자산에 대한 기대에 이끌려 자금을 훔치려는 사기에 쉽게 속습니다. 이러한 위협 중 하나는 합법적인 암호화폐 프로젝트로 위장한...

수신 메시지 일시 중지 사기

피싱, 스팸
사이버 범죄자들은 이메일 기반 사기 수법을 계속해서 정교하게 만들고 있으며, '수신 메시지 일시 중지됨' 사기는 그럴듯하게 만들어진 스팸이 어떻게 의심하지 않는 수신자를 유인할 수 있는지 보여주는 또 다른 사례입니다. 이러한 사기성 알림은 받은 편지함에서 메시지가 보류되고 있다고 거짓으로 주장하며 피싱 페이지로 유도합니다. 이러한 이메일은 cPanel이나 다른 합법적인 회사, 조직 또는 서비스 제공업체와 연결되어 있지 않다는 점을 인지하는 것이 중요합니다. 긴급 상황을 조성하기 위해 고안된 기만적인 경고 이 사기는 일반적으로 '수신 메시지 지연 - 조치 필요' 또는 이와 유사한 제목으로 발송됩니다. 이 이메일은 여러 개의 수신 메시지(보통 세 개)가 일시적으로 대기열에...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
48,494
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
38,512
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
36,036
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...