Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa BADAUDIO kenkėjiška programa

BADAUDIO kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo budrumas išlieka labai svarbus, nes grėsmių vykdytojai nuolat tobulina savo taktiką ir strategijas. Su Kinija susijusi grupuotė, žinoma kaip APT24, dislokavo anksčiau nedokumentuotą kenkėjišką programą, vadinamą BADAUDIO, kad išlaikytų ilgalaikę prieigą prie tikslinių tinklų. Ši veikla yra beveik trejus metus trukusios kampanijos, kurioje pabrėžiami sudėtingi ir prisitaikantys pažangių nuolatinių grėsmių (APT) naudojami metodai, dalis.

Nuo plataus masto atakų iki tikslinių operacijų

Iš pradžių APT24 rėmėsi plačiais strateginiais interneto įsilaužimais, kad užkrėstų teisėtas svetaines. Laikui bėgant, grupė perėjo prie tikslesnio taikinio, ypač organizacijų Taivane. Pagrindiniai metodai:

  • Tiekimo grandinės atakos, pavyzdžiui, pakartotiniai regioninės skaitmeninės rinkodaros įmonės įsilaužimai, siekiant platinti kenkėjiškus scenarijus.
  • Tikslinės sukčiavimo kampanijos, nukreiptos prieš konkrečius asmenis ar organizacijas.

APT24, dar žinoma kaip „Pitty Tiger“, istoriškai daugiausia dėmesio skyrė tokiems sektoriams kaip vyriausybė, sveikatos apsauga, statyba ir inžinerija, kasyba, ne pelno siekiančios organizacijos ir telekomunikacijos JAV ir Taivane. Įrodymai rodo, kad grupė veikia mažiausiai nuo 2008 m., naudodama sukčiavimo el. laiškus, kuriuose yra kenkėjiškų „Microsoft Office“ dokumentų, išnaudojančių tokias pažeidžiamumus kaip CVE-2012-0158 ir CVE-2014-1761.

Kenkėjiškų programų arsenalas: nuo RAT iki BADAUDIO

APT24 išleido platų kenkėjiškų programų šeimų spektrą:

  • KT žiurkė
  • M RAT (Goldsun-B), Enfal/Lurid Downloader variantas
  • Paladin RAT ir Leo RAT, Gh0st RAT variantai
  • Taidoor (Roudan) galinės durys

Naujai atrastas BADAUDIO išsiskiria savo rafinuotumu. Parašytas C++ kalba, jis yra labai užmaskuotas ir naudoja valdymo srauto suplokštinimą, kad būtų išvengta atvirkštinės inžinerijos. Jis veikia kaip pirmojo etapo atsisiuntimo programa, galinti nuskaityti, iššifruoti ir vykdyti AES užšifruotą naudingąją apkrovą iš užkoduoto komandų ir valdymo (C2) serverio.

BADAUDIO paprastai veikia kaip kenkėjiška DLL programa, naudojanti DLL paieškos tvarkos užgrobimą, kad būtų vykdoma per teisėtas programas. Naujausi variantai pateikiami kaip užšifruoti archyvai, kuriuose yra DLL programos kartu su VBS, BAT ir LNK failais.

BADAUDIO kampanija: technikos ir vykdymas

BADAUDIO kampanija, vykstanti nuo 2022 m. lapkričio mėn., rėmėsi keliais pradinės prieigos vektoriais:

  • Laistymo angos
  • Tiekimo grandinės kompromisai
  • Sukčiavimo elektroniniais laiškais

Nuo 2022 m. iki 2025 m. pradžios APT24 įsilaužė į daugiau nei 20 teisėtų svetainių, įterpdamas „JavaScript“ kodą, kuris:

  • Išskirti lankytojai iš „macOS“, „iOS“ ir „Android“.
  • Sugeneruoti unikalūs naršyklės pirštų atspaudai naudojant „FingerprintJS“.
  • Rodomi iššokantys langai, raginantys vartotojus atsisiųsti „BADAUDIO“, užmaskuotą kaip „Google Chrome“ naujinys.

2024 m. liepą grupuotė per regioninę skaitmeninės rinkodaros įmonę Taivane surengė tiekimo grandinės ataką, įterpdama kenkėjišką „JavaScript“ kodą į plačiai paplitusią biblioteką. Tai paveikė daugiau nei 1000 domenų.

Ataka buvo vykdoma naudojant tipografijos klaidą turintį CDN domeną, kad būtų galima gauti užpuoliko valdomus scenarijus, pirštų atspaudų mašinas ir pateikti netikrus iššokančius langus. 2025 m. birželį pristatytas sąlyginis scenarijų įkėlimo mechanizmas leido pritaikyti taikymą individualiems domenams, nors trumpa pertrauka rugpjūtį leido pažeisti visus 1000 domenų, kol apribojimas buvo atnaujintas.

Pažangi sukčiavimo apsimetant ir socialinė inžinerija

Nuo 2024 m. rugpjūčio mėn. APT24 vykdė itin tikslines sukčiavimo apsimetant kampanijas, naudodama tokias masalą kaip gyvūnų gelbėjimo organizacijos. Aukos gauna užšifruotus archyvus su BADAUDIO per „Google“ diską arba „Microsoft OneDrive“ su sekimo pikseliais, skirtais stebėti įsitraukimą ir optimizuoti atakas.
Tiekimo grandinės manipuliavimo, pažangios socialinės inžinerijos ir debesijos paslaugų piktnaudžiavimo derinys rodo APT24 gebėjimą nuolatiniam, prisitaikančiam šnipinėjimui.

APT24 veikla iliustruoja didėjantį su valstybėmis susijusių kibernetinių grėsmių sudėtingumą, pabrėždama, kad organizacijos turi įdiegti griežtą saugumo stebėseną, tikrinti programinės įrangos vientisumą ir šviesti darbuotojus apie sudėtingas sukčiavimo apsimetant ir tiekimo grandinės rizikas.

Tendencijos

Gaunamas pranešimas pristabdytas sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai ir toliau tobulina apgaulę el. paštu, o apgaulė „Gaunamų pranešimų siuntimas pristabdytas“ yra dar vienas pavyzdys, kaip įtikinamai sukurtas šlamštas gali privilioti nieko neįtariančius gavėjus. Šie apgaulingi įspėjimai melagingai teigia, kad pranešimai yra slepiami jūsų gautųjų dėžutėje, ir bando nukreipti jus į sukčiavimo puslapį. Svarbu suprasti, kad šie el....

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
30,862
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...