BADAUDIO मालवेयर

खतराका कारकहरूले आफ्ना रणनीति र रणनीतिहरूलाई निरन्तर परिष्कृत गर्दै जाँदा साइबर सुरक्षा सतर्कता आवश्यक छ। APT24 भनेर चिनिने चीनसँग सम्बन्धित समूहले लक्षित नेटवर्कहरूमा दीर्घकालीन पहुँच कायम राख्न BADAUDIO नामक पहिले कागजात नगरिएको मालवेयर तैनाथ गरिरहेको छ। यो गतिविधि लगभग तीन वर्षदेखि चलिरहेको अभियानको एक हिस्सा हो, जसले उन्नत निरन्तर खतराहरू (APTs) द्वारा प्रयोग गरिएका परिष्कृत र अनुकूलनीय विधिहरूलाई हाइलाइट गर्दछ।

व्यापक आक्रमणदेखि लक्षित अपरेशनसम्म

सुरुमा, APT24 ले वैध वेबसाइटहरूलाई संक्रमित गर्न व्यापक रणनीतिक वेब सम्झौताहरूमा भर पर्थ्यो। समयसँगै, समूहले अझ सटीक लक्ष्यीकरणमा ध्यान केन्द्रित गरेको छ, विशेष गरी ताइवानका संस्थाहरू। मुख्य विधिहरूमा समावेश छन्:

• आपूर्ति शृङ्खला आक्रमणहरू, जस्तै क्षेत्रीय डिजिटल मार्केटिङ फर्मले दुर्भावनापूर्ण स्क्रिप्टहरू वितरण गर्न बारम्बार सम्झौता गर्नु।
• विशिष्ट व्यक्ति वा संस्थाहरूलाई लक्षित गरी भाला-फिसिङ अभियानहरू।

APT24, जसलाई पिट्टी टाइगर पनि भनिन्छ, ऐतिहासिक रूपमा अमेरिका र ताइवानमा सरकार, स्वास्थ्य सेवा, निर्माण र इन्जिनियरिङ, खानी, गैर-नाफामुखी संस्था र दूरसञ्चार जस्ता क्षेत्रहरूमा केन्द्रित छ। प्रमाणहरूले सुझाव दिन्छ कि यो समूह कम्तिमा २००८ देखि सक्रिय छ, जसले CVE-2012-0158 र CVE-2014-1761 जस्ता कमजोरीहरूको शोषण गर्ने दुर्भावनापूर्ण माइक्रोसफ्ट अफिस कागजातहरू भएका फिसिङ इमेलहरूको फाइदा उठाउँदै आएको छ।

मालवेयर आर्सेनल: RATs देखि BADAUDIO सम्म

APT24 ले मालवेयर परिवारहरूको विस्तृत श्रृंखला तैनाथ गरेको छ:

• CT RAT
• एम र्‍याट (गोल्डसन-बी), एन्फाल/लुरिड डाउनलोडरको एक प्रकार
• प्यालाडिन RAT र लियो RAT, Gh0st RAT का भेरियन्टहरू
• तैदूर (राउदान) पछाडिको ढोका

भर्खरै अवलोकन गरिएको BADAUDIO यसको परिष्कारको लागि अलग देखिन्छ। C++ मा लेखिएको, यो अत्यधिक अस्पष्ट छ र रिभर्स इन्जिनियरिङको प्रतिरोध गर्न नियन्त्रण प्रवाह फ्ल्याटनिङ प्रयोग गर्दछ। यसले पहिलो-चरण डाउनलोडरको रूपमा काम गर्दछ, हार्ड-कोडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट AES-इन्क्रिप्टेड पेलोड पुन: प्राप्त गर्न, डिक्रिप्ट गर्न र कार्यान्वयन गर्न सक्षम छ।

BADAUDIO ले सामान्यतया दुर्भावनापूर्ण DLL को रूपमा काम गर्छ, वैध अनुप्रयोगहरू मार्फत कार्यान्वयनको लागि DLL खोज अर्डर अपहरणको लाभ उठाउँछ। हालैका भेरियन्टहरू VBS, BAT, र LNK फाइलहरूसँगै DLL हरू समावेश गर्ने एन्क्रिप्टेड अभिलेखको रूपमा डेलिभर गरिन्छ।

बडाउडियो अभियान: प्रविधि र कार्यान्वयन

नोभेम्बर २०२२ देखि चलिरहेको BADAUDIO अभियानले धेरै प्रारम्भिक पहुँच भेक्टरहरूमा निर्भर गरेको छ:

• पानी निकास गर्ने प्वालहरू
• आपूर्ति शृङ्खलामा सम्झौता
• स्पियर-फिसिङ इमेलहरू

२०२२ देखि २०२५ को सुरुवातसम्म, APT24 ले २० भन्दा बढी वैध वेबसाइटहरूलाई सम्झौता गर्‍यो, जाभास्क्रिप्टलाई इन्जेक्ट गर्दै जुन:

• macOS, iOS, र Android बाट बहिष्कृत आगन्तुकहरू।
• FingerprintJS प्रयोग गरेर अद्वितीय ब्राउजर फिंगरप्रिन्टहरू उत्पन्न गरियो।
• गुगल क्रोम अपडेटको रूपमा BADAUDIO डाउनलोड गर्न प्रयोगकर्ताहरूलाई आग्रह गर्ने पप-अपहरू देखाइएका थिए।

जुलाई २०२४ मा, समूहले ताइवानको एक क्षेत्रीय डिजिटल मार्केटिङ फर्म मार्फत आपूर्ति श्रृंखला आक्रमणको साथ बढ्यो, जसले व्यापक रूपमा वितरित पुस्तकालयमा दुर्भावनापूर्ण जाभास्क्रिप्ट इन्जेक्ट गर्यो। यसले १,००० भन्दा बढी डोमेनहरूलाई असर गर्यो।

आक्रमणकारी-नियन्त्रित स्क्रिप्टहरू, फिंगरप्रिन्ट मेसिनहरू ल्याउन र नक्कली पप-अपहरू प्रदान गर्न आक्रमणले टाइपोस्क्वाटेड CDN डोमेन प्रयोग गर्‍यो। जुन २०२५ मा पेश गरिएको सर्त स्क्रिप्ट लोडिङ संयन्त्रले व्यक्तिगत डोमेनहरूको अनुकूलित लक्ष्यीकरणलाई सक्षम बनायो, यद्यपि अगस्टमा छोटो त्रुटिले प्रतिबन्ध पुनर्स्थापित हुनु अघि सबै १,००० डोमेनहरूलाई सम्झौता गर्न अनुमति दियो।

उन्नत फिसिङ र सामाजिक इन्जिनियरिङ

अगस्ट २०२४ देखि, APT24 ले पशु उद्धार संस्थाहरू जस्ता प्रलोभनहरू प्रयोग गरेर उच्च लक्षित फिसिङ अभियानहरू सञ्चालन गरेको छ। पीडितहरूले गुगल ड्राइभ वा माइक्रोसफ्ट वनड्राइभ मार्फत BADAUDIO समावेश गर्ने इन्क्रिप्टेड अभिलेखहरू प्राप्त गर्छन्, जसमा संलग्नता निगरानी गर्न र आक्रमणहरूलाई अनुकूलन गर्न ट्र्याकिङ पिक्सेलहरू छन्।
आपूर्ति श्रृंखला हेरफेर, उन्नत सामाजिक इन्जिनियरिङ, र क्लाउड सेवा दुरुपयोगको संयोजनले APT24 को निरन्तर, अनुकूली जासुसी क्षमता प्रदर्शन गर्दछ।

APT24 को सञ्चालनले राज्य-सम्बन्धित साइबर खतराहरूको बढ्दो जटिलतालाई चित्रण गर्दछ, जसले संस्थाहरूलाई कडा सुरक्षा अनुगमन लागू गर्न, सफ्टवेयर अखण्डता प्रमाणित गर्न, र परिष्कृत फिसिङ र आपूर्ति श्रृंखला जोखिमहरूमा कर्मचारीहरूलाई शिक्षित गर्न आवश्यकतालाई जोड दिन्छ।