Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware BADAUDIO-malware

BADAUDIO-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Waakzaamheid op het gebied van cybersecurity blijft essentieel, aangezien cybercriminelen hun tactieken en strategieën voortdurend verfijnen. Een aan China gelieerde groep, bekend als APT24, heeft een eerder niet-gedocumenteerde malware genaamd BADAUDIO ingezet om langdurige toegang tot doelwitnetwerken te behouden. Deze activiteit maakt deel uit van een campagne die bijna drie jaar heeft geduurd en de geavanceerde en adaptieve methoden van geavanceerde persistente bedreigingen (APT's) benadrukt.

Van brede aanvallen tot gerichte operaties

Aanvankelijk vertrouwde APT24 op brede strategische webcompromissen om legitieme websites te infecteren. In de loop der tijd heeft de groep zich gericht op preciezere targeting, met name organisaties in Taiwan. Belangrijke methoden zijn onder meer:

  • Aanvallen op de toeleveringsketen, zoals herhaaldelijke aanvallen op een regionaal digitaal marketingbedrijf om schadelijke scripts te verspreiden.
  • Spearphishingcampagnes die gericht zijn op specifieke personen of organisaties.

APT24, ook bekend als Pitty Tiger, richt zich van oudsher op sectoren zoals de overheid, gezondheidszorg, bouw en techniek, mijnbouw, non-profitorganisaties en telecommunicatie in de VS en Taiwan. Er zijn aanwijzingen dat de groep al sinds minstens 2008 actief is en phishingmails verspreidt met schadelijke Microsoft Office-documenten die misbruik maken van kwetsbaarheden zoals CVE-2012-0158 en CVE-2014-1761.

Malware-arsenaal: van RAT's tot BADAUDIO

APT24 heeft een breed scala aan malwarefamilies geïmplementeerd:

  • CT-RAT
  • M RAT (Goldsun-B), een variant van Enfal/Lurid Downloader
  • Paladin RAT en Leo RAT, varianten van Gh0st RAT
  • Taidoor (Roudan) achterdeur

De onlangs ontdekte BADAUDIO valt op door zijn verfijning. Geschreven in C++, is het zeer verduisterd en maakt het gebruik van afvlakking van de besturingsstroom om reverse engineering te voorkomen. Het fungeert als een eerste-fase downloader die een AES-gecodeerde payload van een hardgecodeerde Command-and-Control (C2)-server kan ophalen, decoderen en uitvoeren.

BADAUDIO werkt doorgaans als een kwaadaardige DLL, die gebruikmaakt van DLL Search Order Hijacking voor uitvoering via legitieme applicaties. Recente varianten worden geleverd als gecodeerde archieven met DLL's naast VBS-, BAT- en LNK-bestanden.

De BADAUDIO-campagne: technieken en uitvoering

De BADAUDIO-campagne, die sinds november 2022 loopt, is gebaseerd op meerdere initiële toegangsvectoren:

  • Waterpoelen
  • Compromissen in de toeleveringsketen
  • Spear-phishing-e-mails

Tussen 2022 en begin 2025 heeft APT24 meer dan 20 legitieme websites gecompromitteerd door JavaScript te injecteren dat:

  • Uitgesloten bezoekers van macOS, iOS en Android.
  • Unieke browservingerafdrukken gegenereerd met FingerprintJS.
  • Er werden pop-ups weergegeven waarin gebruikers werden aangespoord om BADAUDIO te downloaden, vermomd als een update voor Google Chrome.

In juli 2024 escaleerde de groep met een supply chain-aanval via een regionaal digitaal marketingbureau in Taiwan, waarbij kwaadaardige JavaScript-code werd geïnjecteerd in een wijdverspreide bibliotheek. Dit trof meer dan 1000 domeinen.

De aanval maakte gebruik van een typosquatted CDN-domein om door de aanvaller beheerde scripts en vingerafdrukscanners op te halen en nep-pop-ups te tonen. Een voorwaardelijk mechanisme voor het laden van scripts, geïntroduceerd in juni 2025, maakte het mogelijk om specifieke targeting op individuele domeinen toe te passen, hoewel een korte onderbreking in augustus ervoor zorgde dat alle 1000 domeinen gecompromitteerd werden voordat de beperking weer werd ingevoerd.

Geavanceerde phishing en social engineering

Sinds augustus 2024 voert APT24 zeer gerichte phishingcampagnes uit, waarbij gebruik wordt gemaakt van lokkertjes zoals dierenreddingsorganisaties. Slachtoffers ontvangen versleutelde archieven met BADAUDIO via Google Drive of Microsoft OneDrive, met trackingpixels om de interactie te monitoren en aanvallen te optimaliseren.
De combinatie van manipulatie van de toeleveringsketen, geavanceerde social engineering en misbruik van cloudservices toont aan dat APT24 over de capaciteit beschikt voor aanhoudende, adaptieve spionage.

De activiteiten van APT24 illustreren de toenemende complexiteit van cyberbedreigingen die verband houden met staten. Ze benadrukken de noodzaak voor organisaties om strenge beveiligingsmonitoring te implementeren, de integriteit van software te verifiëren en personeel te trainen in geavanceerde phishing- en toeleveringsketenrisico's.

Trending

Meest bekeken

Bezig met laden...