Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe BADAUDIO

Oprogramowanie złośliwe BADAUDIO

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Czujność w zakresie cyberbezpieczeństwa pozostaje niezbędna, ponieważ cyberprzestępcy stale udoskonalają swoje taktyki i strategie. Powiązana z Chinami grupa APT24 wdraża nieudokumentowane wcześniej złośliwe oprogramowanie o nazwie BADAUDIO, aby utrzymać długotrwały dostęp do atakowanych sieci. Działania te są częścią trwającej prawie trzy lata kampanii, która uwypukla wyrafinowane i adaptacyjne metody stosowane przez zaawansowane uporczywe zagrożenia (APT).

Od szerokich ataków do ukierunkowanych operacji

Początkowo APT24 opierała się na szeroko zakrojonych strategicznych atakach na legalne strony internetowe. Z czasem grupa przeniosła swoją uwagę na bardziej precyzyjne ataki, zwłaszcza na organizacje na Tajwanie. Kluczowe metody obejmują:

  • Ataki na łańcuch dostaw, takie jak wielokrotne naruszanie bezpieczeństwa regionalnej firmy zajmującej się marketingiem cyfrowym w celu dystrybucji złośliwych skryptów.
  • Kampanie spear-phishingu skierowane do konkretnych osób lub organizacji.

APT24, znany również jako Pitty Tiger, historycznie koncentrował się na sektorach takich jak administracja publiczna, opieka zdrowotna, budownictwo i inżynieria, górnictwo, organizacje non-profit oraz telekomunikacja w Stanach Zjednoczonych i na Tajwanie. Dowody wskazują, że grupa działa co najmniej od 2008 roku, wykorzystując wiadomości phishingowe zawierające złośliwe dokumenty pakietu Microsoft Office, które wykorzystują luki w zabezpieczeniach, takie jak CVE-2012-0158 i CVE-2014-1761.

Arsenał złośliwego oprogramowania: od RAT-ów do BADAUDIO

APT24 wdrożyło szeroką gamę rodzin złośliwego oprogramowania:

  • TK SZCZURA
  • M RAT (Goldsun-B), wariant Enfal/Lurid Downloader
  • Paladin RAT i Leo RAT, warianty Gh0st RAT
  • Taidoor (Roudan) tylne drzwi

Nowo zaobserwowany BADAUDIO wyróżnia się wyrafinowaniem. Napisany w C++, jest wysoce zaciemniony i wykorzystuje spłaszczanie przepływu sterowania, aby zapobiec inżynierii wstecznej. Działa jako program do pobierania pierwszego etapu, zdolny do pobrania, odszyfrowania i wykonania zaszyfrowanego algorytmem AES ładunku z zakodowanego na stałe serwera poleceń i kontroli (C2).

BADAUDIO zazwyczaj działa jako złośliwa biblioteka DLL, wykorzystując przechwytywanie kolejności wyszukiwania bibliotek DLL do uruchamiania za pośrednictwem legalnych aplikacji. Najnowsze warianty są dostarczane jako zaszyfrowane archiwa zawierające biblioteki DLL wraz z plikami VBS, BAT i LNK.

Kampania BADAUDIO: techniki i realizacja

Kampania BADAUDIO, trwająca od listopada 2022 r., opierała się na wielu początkowych wektorach dostępu:

  • Wodopoje
  • Kompromisy w łańcuchu dostaw
  • E-maile typu spear-phishing

Od 2022 do początku 2025 roku APT24 zainfekował ponad 20 legalnych stron internetowych, wstrzykując kod JavaScript, który:

  • Wykluczeni użytkownicy systemów macOS, iOS i Android.
  • Wygenerowano unikalne odciski palców przeglądarki przy użyciu FingerprintJS.
  • Wyświetlały się wyskakujące okienka zachęcające użytkowników do pobrania BADAUDIO podszywającego się pod aktualizację przeglądarki Google Chrome.

W lipcu 2024 roku grupa zaostrzyła atak, przeprowadzając go na łańcuch dostaw za pośrednictwem regionalnej firmy marketingu cyfrowego na Tajwanie, wstrzykując złośliwy kod JavaScript do szeroko rozpowszechnionej biblioteki. Atak dotknął ponad 1000 domen.

Atak wykorzystał domenę CDN z typosquattingiem do pobierania skryptów kontrolowanych przez atakującego, tworzenia odcisków palców i wyświetlania fałszywych okienek pop-up. Mechanizm warunkowego ładowania skryptów, wprowadzony w czerwcu 2025 roku, umożliwił celowe atakowanie poszczególnych domen, jednak krótka przerwa w sierpniu pozwoliła na przejęcie kontroli nad wszystkimi 1000 domenami, zanim ograniczenie zostało przywrócone.

Zaawansowane phishing i inżynieria społeczna

Od sierpnia 2024 roku APT24 prowadzi precyzyjnie ukierunkowane kampanie phishingowe, wykorzystując wabiki, takie jak organizacje ratujące zwierzęta. Ofiary otrzymują zaszyfrowane archiwa zawierające BADAUDIO za pośrednictwem Dysku Google lub Microsoft OneDrive, z pikselami śledzącymi, które monitorują zaangażowanie i optymalizują ataki.
Połączenie manipulacji łańcuchem dostaw, zaawansowanej inżynierii społecznej i nadużywania usług w chmurze pokazuje, że APT24 jest zdolny do ciągłego, adaptacyjnego szpiegostwa.

Działania APT24 ilustrują rosnącą złożoność zagrożeń cybernetycznych powiązanych z państwem, podkreślając potrzebę wdrożenia przez organizacje rygorystycznego monitoringu bezpieczeństwa, weryfikacji integralności oprogramowania i szkolenia personelu na temat zaawansowanych zagrożeń związanych z phishingiem i łańcuchem dostaw.

Popularne

Oszustwo polegające na wstrzymaniu wiadomości...

Phishing, Spam
Cyberprzestępcy nieustannie udoskonalają oszustwa oparte na wiadomościach e-mail, a oszustwo „Wstrzymana wiadomość przychodząca” to kolejny przykład tego, jak przekonująco spreparowany spam może zwabić niczego niepodejrzewających odbiorców. Te fałszywe alerty fałszywie informują o wstrzymaniu wiadomości w skrzynce odbiorczej i próbują skierować Cię na stronę phishingową. Należy pamiętać, że te...

Najczęściej oglądane

Ładowanie...