Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema BADAUDIO

Zlonamerna programska oprema BADAUDIO

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Kibernetska varnostna budnost ostaja bistvenega pomena, saj akterji groženj nenehno izpopolnjujejo svoje taktike in strategije. Skupina APT24, povezana s Kitajsko, je uporabljala prej nedokumentirano zlonamerno programsko opremo BADAUDIO, da bi ohranila dolgoročen dostop do ciljnih omrežij. Ta dejavnost je del kampanje, ki traja že skoraj tri leta in poudarja sofisticirane in prilagodljive metode, ki jih uporabljajo napredne vztrajne grožnje (APT).

Od širokih napadov do ciljno usmerjenih operacij

Sprva se je APT24 zanašal na široke strateške spletne napade za okužbo legitimnih spletnih mest. Sčasoma se je skupina osredotočila na natančnejše ciljanje, zlasti na organizacije na Tajvanu. Ključne metode vključujejo:

  • Napadi na dobavno verigo, kot so ponavljajoči se vdori v regionalno podjetje za digitalni marketing za distribucijo zlonamernih skriptov.
  • Kampanje lažnega predstavljanja, usmerjene v določene posameznike ali organizacije.

APT24, znan tudi kot Pitty Tiger, se je v preteklosti osredotočal na sektorje, kot so vlada, zdravstvo, gradbeništvo in inženiring, rudarstvo, neprofitne organizacije in telekomunikacije v ZDA in Tajvanu. Dokazi kažejo, da je skupina aktivna vsaj od leta 2008 in izkorišča lažna e-poštna sporočila, ki vsebujejo zlonamerne dokumente Microsoft Officea, ki izkoriščajo ranljivosti, kot sta CVE-2012-0158 in CVE-2014-1761.

Arsenal zlonamerne programske opreme: od RAT-ov do BADAUDIO-ja

APT24 je namestil široko paleto družin zlonamerne programske opreme:

  • CT PODGANA
  • M RAT (Goldsun-B), različica programa Enfal/Lurid Downloader
  • Paladin RAT in Leo RAT, različici Gh0st RAT
  • Zadnja vrata Taidoor (Roudan)

Novo opaženi BADAUDIO izstopa po svoji prefinjenosti. Napisan je v jeziku C++, je zelo zakrit in uporablja sploščevanje krmilnega toka, da se upre obratnemu inženiringu. Deluje kot program za prenos v prvi fazi, ki je sposoben pridobiti, dešifrirati in izvesti koristni tovor, šifriran z AES, iz trdo kodiranega strežnika Command-and-Control (C2).

BADAUDIO običajno deluje kot zlonamerna datoteka DLL, ki izkorišča ugrabitev iskalnega vrstnega reda DLL za izvajanje prek legitimnih aplikacij. Novejše različice so dostavljene kot šifrirani arhivi, ki vsebujejo datoteke DLL skupaj z datotekami VBS, BAT in LNK.

Kampanja BADAUDIO: Tehnike in izvedba

Kampanja BADAUDIO, ki poteka od novembra 2022, se je zanašala na več začetnih vektorjev dostopa:

  • Napajalne luknje
  • Kompromisi v dobavni verigi
  • E-poštna sporočila z lažnim predstavljanjem

Od leta 2022 do začetka leta 2025 je APT24 ogrozil več kot 20 legitimnih spletnih mest in vbrizgal JavaScript, ki:

  • Izključeni obiskovalci iz sistemov macOS, iOS in Android.
  • Ustvarjeni edinstveni prstni odtisi brskalnika z uporabo FingerprintJS.
  • Prikazana so bila pojavna okna, ki so uporabnike pozivala k prenosu programa BADAUDIO, prikrita kot posodobitev za Google Chrome.

Julija 2024 je skupina stopnjevala napad na dobavno verigo prek regionalnega podjetja za digitalni marketing na Tajvanu, pri čemer je v široko razširjeno knjižnico vbrizgala zlonamerni JavaScript. To je prizadelo več kot 1000 domen.

V napadu je bila uporabljena tipografsko napačno napisana domena CDN za pridobivanje skriptov, ki jih je nadzoroval napadalec, naprav za prstne odtise in prikazovanje lažnih pojavnih oken. Mehanizem pogojnega nalaganja skriptov, uveden junija 2025, je omogočil prilagojeno ciljanje posameznih domen, čeprav je kratek premor avgusta omogočil, da je bilo vseh 1000 domen ogroženih, preden je bila omejitev ponovno uvedena.

Napredno lažno predstavljanje in socialni inženiring

APT24 od avgusta 2024 izvaja zelo ciljno usmerjene phishing kampanje z uporabo vab, kot so organizacije za reševanje živali. Žrtve prek Google Drive ali Microsoft OneDrive prejmejo šifrirane arhive, ki vsebujejo BADAUDIO, s sledilnimi piksli za spremljanje interakcije in optimizacijo napadov.
Kombinacija manipulacije dobavne verige, naprednega socialnega inženiringa in zlorabe storitev v oblaku dokazuje sposobnost APT24 za vztrajno, prilagodljivo vohunjenje.

Delovanje APT24 ponazarja naraščajočo kompleksnost kibernetskih groženj, povezanih z državo, in poudarja potrebo, da organizacije izvajajo strog varnostni nadzor, preverjajo integriteto programske opreme in izobražujejo osebje o sofisticiranih tveganjih lažnega predstavljanja in dobavne verige.

V trendu

Dohodno sporočilo zaustavljeno Prevara

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci še naprej izpopolnjujejo prevare prek e-pošte, prevara »Dohodno sporočilo zaustavljeno« pa je še en primer, kako prepričljivo oblikovana neželena pošta lahko privabi nič hudega sluteče prejemnike. Ta goljufiva opozorila lažno trdijo, da so sporočila skrita v vašem nabiralniku, in vas poskušajo usmeriti na lažno spletno stran. Pomembno je vedeti, da ta e-poštna sporočila...

Najbolj gledan

Nalaganje...