BADAUDIO ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਚੌਕਸੀ ਜ਼ਰੂਰੀ ਬਣੀ ਹੋਈ ਹੈ ਕਿਉਂਕਿ ਖ਼ਤਰੇ ਵਾਲੇ ਕਾਰਕੁੰਨ ਲਗਾਤਾਰ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ। APT24 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਸਮੂਹ BADAUDIO ਨਾਮਕ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰ ਰਿਹਾ ਹੈ ਤਾਂ ਜੋ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖੀ ਜਾ ਸਕੇ। ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ ਜੋ ਲਗਭਗ ਤਿੰਨ ਸਾਲਾਂ ਤੱਕ ਚੱਲੀ ਹੈ, ਜੋ ਕਿ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟਸ (APTs) ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਸੂਝਵਾਨ ਅਤੇ ਅਨੁਕੂਲ ਤਰੀਕਿਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਵਿਆਪਕ ਹਮਲਿਆਂ ਤੋਂ ਲੈ ਕੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਕਾਰਜਾਂ ਤੱਕ
ਸ਼ੁਰੂ ਵਿੱਚ, APT24 ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਵਿਆਪਕ ਰਣਨੀਤਕ ਵੈੱਬ ਸਮਝੌਤਿਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਸੀ। ਸਮੇਂ ਦੇ ਨਾਲ, ਸਮੂਹ ਨੇ ਵਧੇਰੇ ਸਟੀਕ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵੱਲ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਤਾਈਵਾਨ ਵਿੱਚ ਸੰਗਠਨਾਂ ਵੱਲ। ਮੁੱਖ ਤਰੀਕਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ, ਜਿਵੇਂ ਕਿ ਇੱਕ ਖੇਤਰੀ ਡਿਜੀਟਲ ਮਾਰਕੀਟਿੰਗ ਫਰਮ ਦੁਆਰਾ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਵਾਰ-ਵਾਰ ਸਮਝੌਤਾ ਕਰਨਾ।
- ਖਾਸ ਵਿਅਕਤੀਆਂ ਜਾਂ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ।
APT24, ਜਿਸਨੂੰ ਪਿੱਟੀ ਟਾਈਗਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ ਅਮਰੀਕਾ ਅਤੇ ਤਾਈਵਾਨ ਵਿੱਚ ਸਰਕਾਰ, ਸਿਹਤ ਸੰਭਾਲ, ਨਿਰਮਾਣ ਅਤੇ ਇੰਜੀਨੀਅਰਿੰਗ, ਮਾਈਨਿੰਗ, ਗੈਰ-ਮੁਨਾਫ਼ਾ ਅਤੇ ਦੂਰਸੰਚਾਰ ਸਮੇਤ ਖੇਤਰਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ। ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ 2008 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਜੋ ਕਿ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ਾਂ ਵਾਲੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ ਜੋ CVE-2012-0158 ਅਤੇ CVE-2014-1761 ਵਰਗੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
ਮਾਲਵੇਅਰ ਆਰਸਨਲ: RATs ਤੋਂ BADAUDIO ਤੱਕ
APT24 ਨੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਤਾਇਨਾਤ ਕੀਤੀ ਹੈ:
- ਸੀਟੀ ਰੈਟ
- ਐਮ ਰੈਟ (ਗੋਲਡਸਨ-ਬੀ), ਐਨਫਾਲ/ਲੂਰਿਡ ਡਾਊਨਲੋਡਰ ਦਾ ਇੱਕ ਰੂਪ
- ਪੈਲਾਡਿਨ RAT ਅਤੇ ਲੀਓ RAT, Gh0st RAT ਦੇ ਰੂਪ
- ਤਾਇਦੂਰ (ਰੌਦਨ) ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ
ਨਵਾਂ ਦੇਖਿਆ ਗਿਆ BADAUDIO ਆਪਣੀ ਸੂਝ-ਬੂਝ ਲਈ ਵੱਖਰਾ ਹੈ। C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ, ਇਹ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹੈ ਅਤੇ ਰਿਵਰਸ ਇੰਜੀਨੀਅਰਿੰਗ ਦਾ ਵਿਰੋਧ ਕਰਨ ਲਈ ਕੰਟਰੋਲ ਫਲੋ ਫਲੈਟਨਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਇੱਕ AES-ਇਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ, ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦੇ ਸਮਰੱਥ ਹੈ।
BADAUDIO ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਖਤਰਨਾਕ DLL ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਰਾਹੀਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ DLL ਖੋਜ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਹਾਲੀਆ ਰੂਪਾਂ ਨੂੰ VBS, BAT, ਅਤੇ LNK ਫਾਈਲਾਂ ਦੇ ਨਾਲ DLL ਵਾਲੇ ਏਨਕ੍ਰਿਪਟਡ ਪੁਰਾਲੇਖਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
BADAUDIO ਮੁਹਿੰਮ: ਤਕਨੀਕਾਂ ਅਤੇ ਅਮਲ
ਨਵੰਬਰ 2022 ਤੋਂ ਚੱਲ ਰਹੀ BADAUDIO ਮੁਹਿੰਮ, ਕਈ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ:
- ਪਾਣੀ ਦੇਣ ਵਾਲੇ ਛੇਕ
- ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤਾ
- ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ
2022 ਤੋਂ 2025 ਦੀ ਸ਼ੁਰੂਆਤ ਤੱਕ, APT24 ਨੇ 20 ਤੋਂ ਵੱਧ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ JavaScript ਦਾ ਟੀਕਾ ਲਗਾਇਆ ਗਿਆ ਕਿ:
- macOS, iOS, ਅਤੇ Android ਤੋਂ ਬਾਹਰ ਰੱਖੇ ਗਏ ਸੈਲਾਨੀ।
- ਫਿੰਗਰਪ੍ਰਿੰਟਜੇਐਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਲੱਖਣ ਬ੍ਰਾਊਜ਼ਰ ਫਿੰਗਰਪ੍ਰਿੰਟ ਤਿਆਰ ਕੀਤੇ।
- ਗੂਗਲ ਕਰੋਮ ਅਪਡੇਟ ਦੇ ਭੇਸ ਵਿੱਚ BADAUDIO ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਬੇਨਤੀ ਕਰਨ ਵਾਲੇ ਪੌਪ-ਅੱਪ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੇ ਗਏ।
ਜੁਲਾਈ 2024 ਵਿੱਚ, ਸਮੂਹ ਨੇ ਤਾਈਵਾਨ ਵਿੱਚ ਇੱਕ ਖੇਤਰੀ ਡਿਜੀਟਲ ਮਾਰਕੀਟਿੰਗ ਫਰਮ ਰਾਹੀਂ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਨਾਲ ਤੇਜ਼ੀ ਫੜ ਲਈ, ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵੰਡੀ ਗਈ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਖਤਰਨਾਕ JavaScript ਇੰਜੈਕਟ ਕੀਤਾ। ਇਸਨੇ 1,000 ਤੋਂ ਵੱਧ ਡੋਮੇਨ ਪ੍ਰਭਾਵਿਤ ਕੀਤੇ।
ਹਮਲੇ ਵਿੱਚ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਕ੍ਰਿਪਟਾਂ, ਫਿੰਗਰਪ੍ਰਿੰਟ ਮਸ਼ੀਨਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਨਕਲੀ ਪੌਪ-ਅੱਪ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ ਟਾਈਪੋਸਕਵੇਟਡ CDN ਡੋਮੇਨ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ। ਜੂਨ 2025 ਵਿੱਚ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਇੱਕ ਸ਼ਰਤੀਆ ਸਕ੍ਰਿਪਟ ਲੋਡਿੰਗ ਵਿਧੀ ਨੇ ਵਿਅਕਤੀਗਤ ਡੋਮੇਨਾਂ ਦੇ ਅਨੁਕੂਲਿਤ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ, ਹਾਲਾਂਕਿ ਅਗਸਤ ਵਿੱਚ ਇੱਕ ਛੋਟੀ ਜਿਹੀ ਭੁੱਲ ਨੇ ਪਾਬੰਦੀ ਨੂੰ ਬਹਾਲ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਾਰੇ 1,000 ਡੋਮੇਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।
ਐਡਵਾਂਸਡ ਫਿਸ਼ਿੰਗ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ
ਅਗਸਤ 2024 ਤੋਂ, APT24 ਨੇ ਜਾਨਵਰਾਂ ਨੂੰ ਬਚਾਉਣ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਵਰਗੇ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾਬੱਧ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਚਲਾਈਆਂ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ Google Drive ਜਾਂ Microsoft OneDrive ਰਾਹੀਂ BADAUDIO ਵਾਲੇ ਏਨਕ੍ਰਿਪਟਡ ਪੁਰਾਲੇਖ ਪ੍ਰਾਪਤ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਮੂਲੀਅਤ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਅਤੇ ਹਮਲਿਆਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਲਈ ਟਰੈਕਿੰਗ ਪਿਕਸਲ ਹੁੰਦੇ ਹਨ।
ਸਪਲਾਈ ਚੇਨ ਹੇਰਾਫੇਰੀ, ਉੱਨਤ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ, ਅਤੇ ਕਲਾਉਡ ਸੇਵਾ ਦੀ ਦੁਰਵਰਤੋਂ ਦਾ ਸੁਮੇਲ APT24 ਦੀ ਨਿਰੰਤਰ, ਅਨੁਕੂਲ ਜਾਸੂਸੀ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
APT24 ਦੇ ਕਾਰਜ ਰਾਜ-ਲਿੰਕਡ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੀ ਵਧਦੀ ਜਟਿਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ, ਸੰਗਠਨਾਂ ਨੂੰ ਸਖ਼ਤ ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ ਲਾਗੂ ਕਰਨ, ਸਾਫਟਵੇਅਰ ਇਕਸਾਰਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ, ਅਤੇ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਸੂਝਵਾਨ ਫਿਸ਼ਿੰਗ ਅਤੇ ਸਪਲਾਈ ਚੇਨ ਜੋਖਮਾਂ ਬਾਰੇ ਸਿੱਖਿਅਤ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ।
