Вредоносное ПО BADAUDIO
Бдительность в области кибербезопасности остаётся крайне важной, поскольку злоумышленники постоянно совершенствуют свою тактику и стратегии. Связанная с Китаем группировка, известная как APT24, использует ранее недокументированное вредоносное ПО BADAUDIO для обеспечения долгосрочного доступа к целевым сетям. Эта активность является частью кампании, которая длится почти три года и демонстрирует сложные и адаптивные методы, используемые продвинутыми устойчивыми угрозами (APT).
Оглавление
От широкомасштабных атак к целевым операциям
Изначально APT24 полагалась на масштабные стратегические атаки на веб-сайты для заражения легитимных сайтов. Со временем группировка переключилась на более точные атаки, особенно на организации на Тайване. Основные методы включают:
- Атаки на цепочки поставок, такие как неоднократные взломы региональной компании цифрового маркетинга с целью распространения вредоносных скриптов.
- Фишинговые кампании, направленные против конкретных лиц или организаций.
APT24, также известная как Pitty Tiger, исторически сосредоточилась на таких секторах, как государственный сектор, здравоохранение, строительство и проектирование, горнодобывающая промышленность, некоммерческие организации и телекоммуникации в США и Тайване. Имеющиеся данные свидетельствуют о том, что группировка действует как минимум с 2008 года, используя фишинговые письма, содержащие вредоносные документы Microsoft Office, эксплуатирующие такие уязвимости, как CVE-2012-0158 и CVE-2014-1761.
Арсенал вредоносных программ: от RAT до BADAUDIO
APT24 развернула широкий спектр семейств вредоносных программ:
- КТ КРЫС
- M RAT (Goldsun-B), вариант загрузчика Enfal/Lurid
- Paladin RAT и Leo RAT, варианты Gh0st RAT
- Бэкдор Taidoor (Roudan)
Недавно обнаруженный BADAUDIO выделяется своей сложностью. Написанный на C++, он сильно обфусцирован и использует метод сглаживания потока управления для защиты от реверс-инжиниринга. Он действует как загрузчик первого этапа, способный извлекать, расшифровывать и выполнять полезную нагрузку, зашифрованную AES, с жёстко заданного сервера управления (C2).
BADAUDIO обычно действует как вредоносная DLL-библиотека, используя перехват порядка поиска DLL для выполнения через легитимные приложения. Последние версии распространяются в виде зашифрованных архивов, содержащих DLL-библиотеки вместе с VBS-, BAT- и LNK-файлами.
Кампания BADAUDIO: приемы и реализация
Кампания BADAUDIO, продолжающаяся с ноября 2022 года, опиралась на несколько первоначальных векторов доступа:
- Водопои
- Компромиссы в цепочке поставок
- Фишинговые письма
С 2022 по начало 2025 года APT24 скомпрометировала более 20 легитимных веб-сайтов, внедрив JavaScript, который:
- Исключены посетители с macOS, iOS и Android.
- Сгенерированы уникальные отпечатки браузеров с помощью FingerprintJS.
- Отображались всплывающие окна с призывом загрузить BADAUDIO, замаскированные под обновление Google Chrome.
В июле 2024 года группа обострила ситуацию, совершив атаку на цепочку поставок через региональную компанию цифрового маркетинга на Тайване, внедрив вредоносный JavaScript-код в широко распространённую библиотеку. Это затронуло более 1000 доменов.
Атака использовала захваченный тайпсквоттером домен CDN для загрузки контролируемых злоумышленником скриптов, сканеров отпечатков пальцев и показа поддельных всплывающих окон. Механизм условной загрузки скриптов, представленный в июне 2025 года, позволил целенаправленно атаковать отдельные домены, хотя кратковременный сбой в августе позволил скомпрометировать все 1000 доменов, прежде чем ограничение было восстановлено.
Расширенный фишинг и социальная инженерия
С августа 2024 года группировка APT24 проводит узконаправленные фишинговые кампании, используя в качестве приманок организации по спасению животных. Жертвы получают зашифрованные архивы с BADAUDIO через Google Диск или Microsoft OneDrive, оснащенные пикселями отслеживания для отслеживания взаимодействия и оптимизации атак.
Сочетание манипуляции цепочками поставок, продвинутой социальной инженерии и злоупотребления облачными сервисами демонстрирует способность APT24 осуществлять постоянный, адаптивный шпионаж.
Операции APT24 иллюстрируют растущую сложность киберугроз, связанных с государством, подчеркивая необходимость для организаций осуществлять строгий мониторинг безопасности, проверять целостность программного обеспечения и обучать персонал сложным фишинговым атакам и рискам, связанным с цепочками поставок.
