BADAUDIO ļaunprogrammatūra
Kiberdrošības modrība joprojām ir būtiska, jo apdraudējumu izraisītāji nepārtraukti pilnveido savu taktiku un stratēģijas. Ar Ķīnu saistīta grupa, kas pazīstama kā APT24, ir ieviesusi iepriekš nedokumentētu ļaunprogrammatūru ar nosaukumu BADAUDIO, lai uzturētu ilgtermiņa piekļuvi mērķa tīkliem. Šī darbība ir daļa no kampaņas, kas ilga gandrīz trīs gadus, izceļot sarežģītās un adaptīvās metodes, ko izmanto progresīvie pastāvīgie apdraudējumi (APT).
Satura rādītājs
No plašiem uzbrukumiem līdz mērķtiecīgām operācijām
Sākotnēji APT24 paļāvās uz plašiem stratēģiskiem tīmekļa uzbrukumiem, lai inficētu likumīgas tīmekļa vietnes. Laika gaitā grupa ir mainījusi savu fokusu uz precīzāku mērķauditorijas atlasi, īpaši organizācijām Taivānā. Galvenās metodes ietver:
- Piegādes ķēdes uzbrukumi, piemēram, atkārtoti reģionālā digitālā mārketinga uzņēmuma kompromitēšanas mēģinājumi, lai izplatītu ļaunprātīgus skriptus.
- Spearphishing kampaņas, kas vērstas pret konkrētām personām vai organizācijām.
APT24, kas pazīstams arī kā Pitty Tiger, vēsturiski ir koncentrējies uz tādām nozarēm kā valdība, veselības aprūpe, būvniecība un inženierija, kalnrūpniecība, bezpeļņas organizācijas un telekomunikācijas ASV un Taivānā. Pierādījumi liecina, ka grupa darbojas vismaz kopš 2008. gada, izmantojot pikšķerēšanas e-pastus, kas satur ļaunprātīgus Microsoft Office dokumentus, kuri izmanto tādas ievainojamības kā CVE-2012-0158 un CVE-2014-1761.
Ļaunprogrammatūras arsenāls: no RAT līdz BADAUDIO
APT24 ir ieviesis plašu ļaunprogrammatūru saimju klāstu:
- CT ŽURKA
- M RAT (Goldsun-B), Enfal/Lurid Downloader variants
- Paladin RAT un Leo RAT, Gh0st RAT varianti
- Taidoor (Roudan) aizmugurējās durvis
Jaunizveidotais BADAUDIO izceļas ar savu izsmalcinātību. Tas ir rakstīts C++ valodā, ir ļoti maskēts un izmanto vadības plūsmas saplacināšanu, lai pretotos reversajai inženierijai. Tas darbojas kā pirmā posma lejupielādētājs, kas spēj izgūt, atšifrēt un izpildīt AES šifrētu vērtumu no cietkodēta Command-and-Control (C2) servera.
BADAUDIO parasti darbojas kā ļaunprātīgs DLL, izmantojot DLL meklēšanas secības nolaupīšanu izpildei, izmantojot likumīgas lietojumprogrammas. Jaunākie varianti tiek piegādāti kā šifrēti arhīvi, kas satur DLL, kā arī VBS, BAT un LNK failus.
BADAUDIO kampaņa: metodes un izpilde
BADAUDIO kampaņa, kas notiek kopš 2022. gada novembra, ir balstījusies uz vairākiem sākotnējiem piekļuves vektoriem:
- Dzirdināšanas caurumi
- Piegādes ķēdes kompromisi
- Spearphicking e-pasti
No 2022. gada līdz 2025. gada sākumam APT24 uzlauza vairāk nekā 20 likumīgas tīmekļa vietnes, ievadot JavaScript kodu, kas:
- Izslēgti apmeklētāji no macOS, iOS un Android.
- Izmantojot FingerprintJS, ģenerēti unikāli pārlūkprogrammas pirkstu nospiedumi.
- Parādīja uznirstošos logus, kas mudināja lietotājus lejupielādēt BADAUDIO, kas bija maskēts kā Google Chrome atjauninājums.
2024. gada jūlijā grupa saasinājās ar piegādes ķēdes uzbrukumu, izmantojot reģionālu digitālā mārketinga firmu Taivānā, plaši izplatītā bibliotēkā ievadot ļaunprātīgu JavaScript kodu. Tas ietekmēja vairāk nekā 1000 domēnu.
Uzbrukumā tika izmantots typosquatting CDN domēns, lai ielādētu uzbrucēja kontrolētus skriptus, pirkstu nospiedumu mašīnas un rādītu viltotus uznirstošos logus. Nosacīts skriptu ielādes mehānisms, kas tika ieviests 2025. gada jūnijā, ļāva pielāgot atsevišķu domēnu mērķauditorijas atlasi, lai gan īss pauze augustā ļāva apdraudēt visus 1000 domēnus, pirms ierobežojums tika atjaunots.
Paplašināta pikšķerēšana un sociālā inženierija
Kopš 2024. gada augusta APT24 ir veicis ļoti mērķtiecīgas pikšķerēšanas kampaņas, izmantojot tādus ēsmas veidus kā dzīvnieku glābšanas organizācijas. Cietušie saņem šifrētus arhīvus, kas satur BADAUDIO, izmantojot Google Drive vai Microsoft OneDrive, ar izsekošanas pikseļiem, lai uzraudzītu iesaisti un optimizētu uzbrukumus.
Piegādes ķēdes manipulāciju, progresīvas sociālās inženierijas un mākoņpakalpojumu ļaunprātīgas izmantošanas kombinācija demonstrē APT24 spēju veikt pastāvīgu, adaptīvu spiegošanu.
APT24 darbība ilustrē ar valsti saistīto kiberdraudu pieaugošo sarežģītību, uzsverot nepieciešamību organizācijām ieviest stingru drošības uzraudzību, pārbaudīt programmatūras integritāti un izglītot personālu par sarežģītiem pikšķerēšanas un piegādes ķēdes riskiem.
