Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare BADAUDIO-skadevare

BADAUDIO-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Nettsikkerhetsovervåkning er fortsatt viktig ettersom trusselaktører kontinuerlig forbedrer taktikker og strategier. En Kina-tilknyttet gruppe kjent som APT24 har distribuert en tidligere udokumentert skadelig programvare kalt BADAUDIO for å opprettholde langsiktig tilgang til målrettede nettverk. Denne aktiviteten er en del av en kampanje som har vart i nesten tre år, og fremhever de sofistikerte og adaptive metodene som brukes av avanserte vedvarende trusler (APT-er).

Fra brede angrep til målrettede operasjoner

I starten var APT24 avhengig av brede strategiske nett-angrep for å infisere legitime nettsteder. Over tid har gruppen endret fokuset mot mer presis målretting, spesielt organisasjoner i Taiwan. Viktige metoder inkluderer:

  • Angrep på forsyningskjeden, som gjentatte innbrudd av et regionalt digitalt markedsføringsfirma for å distribuere ondsinnede skript.
  • Spear-phishing-kampanjer rettet mot bestemte individer eller organisasjoner.

APT24, også kjent som Pitty Tiger, har historisk sett fokusert på sektorer som offentlig sektor, helsevesen, bygg og anlegg, gruvedrift, ideelle organisasjoner og telekommunikasjon i USA og Taiwan. Det finnes bevis som tyder på at gruppen har vært aktiv siden minst 2008, og utnyttet phishing-e-poster som inneholder ondsinnede Microsoft Office-dokumenter som utnytter sårbarheter som CVE-2012-0158 og CVE-2014-1761.

Arsenal av skadelig programvare: Fra rotter til BADAUDIO

APT24 har distribuert et bredt spekter av skadevarefamilier:

  • CT-ROTTE
  • M RAT (Goldsun-B), en variant av Enfal/Lurid Downloader
  • Paladin RAT og Leo RAT, varianter av Gh0st RAT
  • Taidoor (Roudan) bakdør

Den nylig observerte BADAUDIO skiller seg ut med sin sofistikasjon. Skrevet i C++, er den svært obfuskert og bruker kontrollflytutflatning for å motstå reverse engineering. Den fungerer som en førstetrinns nedlaster, i stand til å hente, dekryptere og kjøre en AES-kryptert nyttelast fra en hardkodet Command-and-Control (C2)-server.

BADAUDIO fungerer vanligvis som en ondsinnet DLL, som utnytter DLL Search Order Hijacking for kjøring via legitime applikasjoner. Nyere varianter leveres som krypterte arkiver som inneholder DLL-er sammen med VBS-, BAT- og LNK-filer.

BADAUDIO-kampanjen: Teknikker og utførelse

BADAUDIO-kampanjen, som har pågått siden november 2022, har vært avhengig av flere innledende tilgangsvektorer:

  • Vannhull
  • Kompromisser i forsyningskjeden
  • Spear-phishing-e-poster

Fra 2022 til tidlig i 2025 kompromitterte APT24 over 20 legitime nettsteder og injiserte JavaScript som:

  • Ekskluderte besøkende fra macOS, iOS og Android.
  • Genererte unike fingeravtrykk i nettleseren ved hjelp av FingerprintJS.
  • Viste popup-vinduer som oppfordret brukere til å laste ned BADAUDIO forkledd som en Google Chrome-oppdatering.

I juli 2024 eskalerte gruppen med et forsyningskjedeangrep via et regionalt digitalt markedsføringsfirma i Taiwan, der skadelig JavaScript ble injisert i et vidt distribuert bibliotek. Dette påvirket mer enn 1000 domener.

Angrepet brukte et typosquattet CDN-domene til å hente angriperkontrollerte skript, fingeravtrykksmaskiner og vise falske popup-vinduer. En betinget skriptinnlastingsmekanisme introdusert i juni 2025 muliggjorde skreddersydd målretting av individuelle domener, selv om et kort opphold i august tillot at alle 1000 domener ble kompromittert før restriksjonen ble gjeninnført.

Avansert phishing og sosial manipulering

Siden august 2024 har APT24 gjennomført svært målrettede phishing-kampanjer, ved hjelp av lokkemidler som dyreredningsorganisasjoner. Ofrene mottar krypterte arkiver som inneholder BADAUDIO via Google Drive eller Microsoft OneDrive, med sporingspiksler for å overvåke engasjement og optimalisere angrep.
Kombinasjonen av manipulering av forsyningskjeden, avansert sosial manipulering og misbruk av skytjenester demonstrerer APT24s evne til vedvarende, adaptiv spionasje.

APT24s virksomhet illustrerer den økende kompleksiteten til statsrelaterte cybertrusler, og understreker behovet for at organisasjoner implementerer streng sikkerhetsovervåking, verifiserer programvareintegritet og utdanner personell om sofistikert phishing og risikoer i forsyningskjeden.

Trender

Mest sett

Laster inn...