Programe malware BADAUDIO
Vigilența în domeniul securității cibernetice rămâne esențială, deoarece actorii care atacă cibernetic își perfecționează continuu tacticile și strategiile. Un grup cu legături cu China, cunoscut sub numele de APT24, a implementat un malware nedocumentat anterior, numit BADAUDIO, pentru a menține accesul pe termen lung la rețelele vizate. Această activitate face parte dintr-o campanie care s-a întins pe aproape trei ani, evidențiind metodele sofisticate și adaptive utilizate de amenințările persistente avansate (APT).
Cuprins
De la atacuri ample la operațiuni direcționate
Inițial, APT24 s-a bazat pe compromisuri web strategice ample pentru a infecta site-uri web legitime. De-a lungul timpului, grupul și-a mutat atenția către o direcționare mai precisă, în special a organizațiilor din Taiwan. Metodele cheie includ:
- Atacuri asupra lanțului de aprovizionare, cum ar fi compromiterea repetată a securității unei firme regionale de marketing digital pentru a distribui scripturi rău intenționate.
- Campanii de spear-phishing care vizează anumite persoane sau organizații.
APT24, cunoscut și sub numele de Pitty Tiger, s-a concentrat în mod tradițional pe sectoare precum guvern, asistență medicală, construcții și inginerie, minerit, organizații non-profit și telecomunicații în SUA și Taiwan. Dovezile sugerează că grupul este activ cel puțin din 2008, valorificând e-mailuri de phishing care conțin documente Microsoft Office rău intenționate, ce exploatează vulnerabilități precum CVE-2012-0158 și CVE-2014-1761.
Arsenalul de programe malware: De la RAT-uri la BADAUDIO
APT24 a implementat o gamă largă de familii de programe malware:
- CT RAT
- M RAT (Goldsun-B), o variantă a Enfal/Lurid Downloader
- Paladin RAT și Leo RAT, variante ale lui Gh0st RAT
- Ușă din spate Taidoor (Roudan)
Noul BADAUDIO observat se remarcă prin sofisticarea sa. Scris în C++, este extrem de ofuscat și folosește aplatizarea fluxului de control pentru a rezista ingineriei inverse. Acționează ca un program de descărcare în prima etapă, capabil să preia, să decripteze și să execute o sarcină utilă criptată AES de pe un server Command-and-Control (C2) codificat hard.
BADAUDIO funcționează de obicei ca un DLL rău intenționat, utilizând DLL Search Order Hijacking pentru execuție prin intermediul aplicațiilor legitime. Variantele recente sunt livrate ca arhive criptate care conțin DLL-uri alături de fișiere VBS, BAT și LNK.
Campania BADAUDIO: Tehnici și execuție
Campania BADAUDIO, în desfășurare din noiembrie 2022, s-a bazat pe mai mulți vectori de acces inițial:
- Găuri de apă
- Compromisuri ale lanțului de aprovizionare
- E-mailuri de tip spear-phishing
Din 2022 până la începutul anului 2025, APT24 a compromis peste 20 de site-uri web legitime, injectând cod JavaScript care:
- Vizitatori excluși de pe macOS, iOS și Android.
- Am generat amprente digitale unice de browser folosind FingerprintJS.
- Afișau ferestre pop-up care îndeamnă utilizatorii să descarce BADAUDIO deghizate sub o actualizare Google Chrome.
În iulie 2024, grupul a escaladat cu un atac asupra lanțului de aprovizionare prin intermediul unei firme regionale de marketing digital din Taiwan, injectând cod JavaScript malițios într-o bibliotecă distribuită pe scară largă. Aceasta a afectat peste 1.000 de domenii.
Atacul a folosit un domeniu CDN typosquatted pentru a prelua scripturi controlate de atacatori, mașini de amprentare și a servi ferestre pop-up false. Un mecanism de încărcare condiționată a scripturilor, introdus în iunie 2025, a permis direcționarea personalizată a domeniilor individuale, deși o scurtă perioadă în august a permis compromiterea tuturor celor 1.000 de domenii înainte ca restricția să fie reinstaurată.
Phishing avansat și inginerie socială
Din august 2024, APT24 a desfășurat campanii de phishing extrem de bine direcționate, folosind momeli precum organizațiile de salvare a animalelor. Victimele primesc arhive criptate care conțin BADAUDIO prin Google Drive sau Microsoft OneDrive, cu pixeli de urmărire pentru a monitoriza interacțiunea și a optimiza atacurile.
Combinația dintre manipularea lanțului de aprovizionare, ingineria socială avansată și abuzul serviciilor cloud demonstrează capacitatea APT24 de spionaj persistent și adaptiv.
Operațiunile APT24 ilustrează complexitatea tot mai mare a amenințărilor cibernetice legate de stat, subliniind necesitatea ca organizațiile să implementeze o monitorizare riguroasă a securității, să verifice integritatea software-ului și să educe personalul cu privire la riscurile sofisticate de phishing și la lanțul de aprovizionare.
