Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér BADAUDIO

Škodlivý softvér BADAUDIO

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Kybernetická ostražitosť zostáva nevyhnutná, pretože útočníci neustále zdokonaľujú svoje taktiky a stratégie. Skupina napojená na Čínu, známa ako APT24, nasadzuje predtým nezdokumentovaný malvér s názvom BADAUDIO, aby si udržala dlhodobý prístup k cieľovým sieťam. Táto aktivita je súčasťou kampane, ktorá trvá takmer tri roky a zdôrazňuje sofistikované a adaptívne metódy používané pokročilými perzistentnými hrozbami (APT).

Od rozsiahlych útokov k cieleným operáciám

Spočiatku sa skupina APT24 spoliehala na rozsiahle strategické webové kompromitácie na infikovanie legitímnych webových stránok. Postupom času sa skupina zamerala na presnejšie zacielenie, najmä na organizácie na Taiwane. Medzi kľúčové metódy patria:

  • Útoky v dodávateľskom reťazci, ako napríklad opakované kompromitácie regionálnej firmy digitálneho marketingu s cieľom šíriť škodlivé skripty.
  • Spear-phishingové kampane zamerané na konkrétnych jednotlivcov alebo organizácie.

APT24, známa aj ako Pitty Tiger, sa historicky zameriava na sektory vrátane vlády, zdravotníctva, stavebníctva a strojárstva, baníctva, neziskových organizácií a telekomunikácií v USA a na Taiwane. Dôkazy naznačujú, že skupina je aktívna minimálne od roku 2008 a využíva phishingové e-maily obsahujúce škodlivé dokumenty balíka Microsoft Office, ktoré zneužívajú zraniteľnosti, ako napríklad CVE-2012-0158 a CVE-2014-1761.

Arsenál škodlivého softvéru: Od RATov po BADAUDIO

APT24 nasadil širokú škálu rodín malvéru:

  • CT RAT
  • M RAT (Goldsun-B), variant Enfal/Lurid Downloader
  • Paladin RAT a Leo RAT, varianty Gh0st RAT
  • Zadné vrátka Taidoor (Roudan)

Novo objavený BADAUDIO vyniká svojou sofistikovanosťou. Je napísaný v jazyku C++, je vysoko obfuskovaný a využíva sploštenie riadiaceho toku, aby odolal reverznému inžinierstvu. Funguje ako sťahovací program prvej fázy, schopný načítať, dešifrovať a spustiť užitočné zaťaženie šifrované AES z pevne naprogramovaného servera Command-and-Control (C2).

BADAUDIO zvyčajne funguje ako škodlivá knižnica DLL, ktorá využíva únos vyhľadávania DLL na spustenie prostredníctvom legitímnych aplikácií. Najnovšie varianty sa dodávajú ako šifrované archívy obsahujúce knižnice DLL spolu so súbormi VBS, BAT a LNK.

Kampaň BADAUDIO: Techniky a realizácia

Kampaň BADAUDIO, ktorá prebieha od novembra 2022, sa spoliehala na viacero počiatočných prístupových vektorov:

  • Napájadlá
  • Kompromisy v dodávateľskom reťazci
  • E-maily typu spear phishing

Od roku 2022 do začiatku roka 2025 APT24 napadol viac ako 20 legitímnych webových stránok a vložil do nich JavaScript, ktorý:

  • Vylúčení návštevníci zo systémov macOS, iOS a Android.
  • Vygenerované jedinečné odtlačky prstov prehliadača pomocou FingerprintJS.
  • Zobrazovali sa vyskakovacie okná nabádajúce používateľov k stiahnutiu aplikácie BADAUDIO maskované ako aktualizácia prehliadača Google Chrome.

V júli 2024 skupina eskalovala útokom na dodávateľský reťazec prostredníctvom regionálnej firmy digitálneho marketingu na Taiwane, pričom vložila škodlivý JavaScript do široko distribuovanej knižnice. To ovplyvnilo viac ako 1 000 domén.

Útok použil doménu CDN s preklepom na načítanie skriptov ovládaných útočníkom, generovanie odtlačkov prstov a zobrazovanie falošných vyskakovacích okien. Mechanizmus podmieneného načítavania skriptov zavedený v júni 2025 umožnil prispôsobené zacielenie na jednotlivé domény, hoci krátka prestávka v auguste umožnila napadnutie všetkých 1 000 domén predtým, ako bolo obmedzenie obnovené.

Pokročilý phishing a sociálne inžinierstvo

Od augusta 2024 organizácia APT24 vykonáva cielené phishingové kampane s využitím návnad, ako sú organizácie na záchranu zvierat. Obete dostávajú šifrované archívy obsahujúce súbor BADAUDIO prostredníctvom Disku Google alebo Microsoft OneDrive so sledovacími pixelmi na monitorovanie interakcie a optimalizáciu útokov.
Kombinácia manipulácie dodávateľského reťazca, pokročilého sociálneho inžinierstva a zneužívania cloudových služieb demonštruje schopnosť APT24 vykonávať pretrvávajúcu a adaptívnu špionáž.

Činnosť APT24 ilustruje rastúcu komplexnosť kybernetických hrozieb prepojených so štátom a zdôrazňuje potrebu, aby organizácie zavádzali prísne monitorovanie bezpečnosti, overovali integritu softvéru a vzdelávali zamestnancov o sofistikovanom phishingu a rizikách dodávateľského reťazca.

Trendy

Prichádzajúca správa pozastavená – podvod

Phishing, Spam
Kyberzločinci neustále zdokonaľujú podvody založené na e-mailoch a podvod „Prichádzajúca správa pozastavená“ je ďalším príkladom toho, ako presvedčivo dokáže spam nalákať nič netušiacich príjemcov. Tieto podvodné upozornenia falošne tvrdia, že správy sú zadržiavané vo vašej schránke a snažia sa vás presmerovať na phishingovú stránku. Je dôležité si uvedomiť, že tieto e-maily nie sú prepojené s...

Najviac videné

Načítava...