BADAUDIO Malware
Kewaspadaan keselamatan siber kekal penting kerana pelaku ancaman terus memperhalusi taktik dan strategi mereka. Kumpulan berkaitan China yang dikenali sebagai APT24 telah menggunakan perisian hasad yang tidak didokumenkan sebelum ini dipanggil BADAUDIO untuk mengekalkan akses jangka panjang kepada rangkaian yang disasarkan. Aktiviti ini adalah sebahagian daripada kempen yang telah menjangkau hampir tiga tahun, menonjolkan kaedah canggih dan penyesuaian yang digunakan oleh ancaman berterusan lanjutan (APT).
Isi kandungan
Daripada Serangan Luas kepada Operasi Bersasar
Pada mulanya, APT24 bergantung pada kompromi web strategik yang luas untuk menjangkiti tapak web yang sah. Dari masa ke masa, kumpulan itu telah mengalihkan tumpuan ke arah penyasaran yang lebih tepat, terutamanya organisasi di Taiwan. Kaedah utama termasuk:
- Serangan rantaian bekalan, seperti kompromi berulang firma pemasaran digital serantau untuk mengedarkan skrip berniat jahat.
- Kempen pancingan lembing yang menyasarkan individu atau organisasi tertentu.
APT24, juga dikenali sebagai Pitty Tiger, telah memfokuskan sejarah pada sektor termasuk kerajaan, penjagaan kesihatan, pembinaan dan kejuruteraan, perlombongan, bukan untung dan telekomunikasi di AS dan Taiwan. Bukti menunjukkan kumpulan itu telah aktif sejak sekurang-kurangnya 2008, memanfaatkan e-mel pancingan data yang mengandungi dokumen Microsoft Office berniat jahat yang mengeksploitasi kelemahan seperti CVE-2012-0158 dan CVE-2014-1761.
Malware Arsenal: Daripada RAT ke BADAUDIO
APT24 telah menggunakan pelbagai jenis keluarga perisian hasad:
- CT RAT
- M RAT (Goldsun-B), varian Enfal/Lurid Downloader
- Paladin RAT dan Leo RAT, varian Gh0st RAT
- Pintu belakang Taidoor (Roudan).
BADAUDIO yang baru diamati menonjol kerana kecanggihannya. Ditulis dalam C++, ia sangat dikelirukan dan menggunakan perataan aliran kawalan untuk menentang kejuruteraan terbalik. Ia bertindak sebagai pemuat turun peringkat pertama, mampu mendapatkan semula, menyahsulit dan melaksanakan muatan yang disulitkan AES daripada pelayan Command-and-Control (C2) berkod keras.
BADAUDIO biasanya beroperasi sebagai DLL berniat jahat, memanfaatkan DLL Search Order Hijacking untuk pelaksanaan melalui aplikasi yang sah. Varian terkini dihantar sebagai arkib yang disulitkan yang mengandungi DLL bersama fail VBS, BAT dan LNK.
Kempen BADAUDIO: Teknik dan Perlaksanaan
Kempen BADAUDIO, yang berlangsung sejak November 2022, telah bergantung pada berbilang vektor akses awal:
- Lubang air
- Rantaian bekalan kompromi
- E-mel spear-phishing
Dari 2022 hingga awal 2025, APT24 menjejaskan lebih 20 tapak web yang sah, menyuntik JavaScript yang:
- Mengecualikan pelawat daripada macOS, iOS dan Android.
- Menjana cap jari pelayar unik menggunakan FingerprintJS.
- Pop timbul yang dipaparkan menggesa pengguna memuat turun BADAUDIO yang menyamar sebagai kemas kini Google Chrome.
Pada Julai 2024, kumpulan itu meningkat dengan serangan rantaian bekalan melalui firma pemasaran digital serantau di Taiwan, menyuntik JavaScript berniat jahat ke dalam perpustakaan yang diedarkan secara meluas. Ini menjejaskan lebih daripada 1,000 domain.
Serangan itu menggunakan domain CDN yang ditakrifkan untuk mengambil skrip dikawal penyerang, mesin cap jari dan menyediakan pop timbul palsu. Mekanisme pemuatan skrip bersyarat yang diperkenalkan pada Jun 2025 mendayakan penyasaran yang disesuaikan untuk domain individu, walaupun selang singkat pada bulan Ogos membenarkan semua 1,000 domain dikompromi sebelum sekatan dikembalikan semula.
Pancingan Data Lanjutan dan Kejuruteraan Sosial
Sejak Ogos 2024, APT24 telah menjalankan kempen pancingan data yang sangat disasarkan, menggunakan gewang seperti organisasi menyelamat haiwan. Mangsa menerima arkib yang disulitkan yang mengandungi BADAUDIO melalui Google Drive atau Microsoft OneDrive, dengan piksel penjejakan untuk memantau penglibatan dan mengoptimumkan serangan.
Gabungan manipulasi rantaian bekalan, kejuruteraan sosial lanjutan dan penyalahgunaan perkhidmatan awan menunjukkan keupayaan APT24 untuk pengintipan adaptif yang berterusan.
Operasi APT24 menggambarkan kerumitan ancaman siber berkaitan kerajaan yang semakin meningkat, menekankan keperluan untuk organisasi melaksanakan pemantauan keselamatan yang rapi, mengesahkan integriti perisian dan mendidik kakitangan tentang pancingan data dan risiko rantaian bekalan yang canggih.
