Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware BADAUDIO Malware

BADAUDIO Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Vigjilenca e sigurisë kibernetike mbetet thelbësore, ndërsa aktorët kërcënues vazhdimisht i përsosin taktikat dhe strategjitë e tyre. Një grup i lidhur me Kinën, i njohur si APT24, ka përdorur një program keqdashës të padokumentuar më parë të quajtur BADAUDIO për të ruajtur aksesin afatgjatë në rrjetet e synuara. Ky aktivitet është pjesë e një fushate që ka zgjatur gati tre vjet, duke nxjerrë në pah metodat e sofistikuara dhe adaptive të përdorura nga kërcënimet e përparuara të vazhdueshme (APT).

Nga sulmet e gjera në operacionet e synuara

Fillimisht, APT24 mbështetej në kompromiset strategjike të gjera në internet për të infektuar faqet e internetit legjitime. Me kalimin e kohës, grupi e ka zhvendosur fokusin drejt shënjestrimit më të saktë, veçanërisht organizatave në Tajvan. Metodat kryesore përfshijnë:

  • Sulmet e zinxhirit të furnizimit, të tilla si kompromentimet e përsëritura të një firme rajonale të marketingut dixhital për të shpërndarë skripte dashakeqe.
  • Fushatat e spear-phishing që synojnë individë ose organizata specifike.

APT24, i njohur edhe si Pitty Tiger, historikisht është përqendruar në sektorë që përfshijnë qeverinë, kujdesin shëndetësor, ndërtimin dhe inxhinierinë, minierat, organizatat jofitimprurëse dhe telekomunikacionin në SHBA dhe Tajvan. Provat sugjerojnë se grupi ka qenë aktiv që të paktën nga viti 2008, duke shfrytëzuar email-e phishing që përmbajnë dokumente keqdashëse të Microsoft Office që shfrytëzojnë dobësi të tilla si CVE-2012-0158 dhe CVE-2014-1761.

Arsenali i Malware-it: Nga RAT-ët te BADAUDIO

APT24 ka vendosur një gamë të gjerë familjesh të programeve keqdashëse:

  • CT RAT
  • M RAT (Goldsun-B), një variant i Enfal/Lurid Downloader
  • Paladin RAT dhe Leo RAT, variante të Gh0st RAT
  • Derë e pasme Taidoor (Roudan)

BADAUDIO i sapo zbuluar dallohet për sofistikimin e tij. I shkruar në C++, është shumë i paqartë dhe përdor rrafshimin e rrjedhës së kontrollit për t'i rezistuar inxhinierisë së kundërt. Ai vepron si një shkarkues i fazës së parë, i aftë të marrë, deshifrojë dhe ekzekutojë një ngarkesë të enkriptuar me AES nga një server i koduar fort Command-and-Control (C2).

BADAUDIO zakonisht vepron si një DLL keqdashëse, duke shfrytëzuar DLL Search Order Hijacking për ekzekutim nëpërmjet aplikacioneve legjitime. Variantet e fundit dorëzohen si arkiva të enkriptuara që përmbajnë DLL së bashku me skedarët VBS, BAT dhe LNK.

Fushata BADAUDIO: Teknikat dhe Ekzekutimi

Fushata BADAUDIO, e cila vazhdon që nga nëntori i vitit 2022, është mbështetur në vektorë të shumtë fillestarë të aksesit:

  • Vrima për ujitje
  • Kompromiset e zinxhirit të furnizimit
  • Email-e të tipit “spear-phishing”

Nga viti 2022 deri në fillim të vitit 2025, APT24 kompromentoi mbi 20 faqe interneti legjitime, duke injektuar JavaScript që:

  • Vizitorët nga macOS, iOS dhe Android u përjashtuan.
  • U gjeneruan gjurmë gishtash unike të shfletuesit duke përdorur FingerprintJS.
  • Shfaqeshin dritare pop-up që i nxisnin përdoruesit të shkarkonin BADAUDIO të maskuar si një përditësim të Google Chrome.

Në korrik 2024, grupi përshkallëzoi me një sulm në zinxhirin e furnizimit nëpërmjet një firme rajonale të marketingut dixhital në Tajvan, duke injektuar JavaScript keqdashës në një bibliotekë të shpërndarë gjerësisht. Kjo preku më shumë se 1,000 domene.

Sulmi përdori një domen CDN të shtypur për të marrë skripte të kontrolluara nga sulmuesi, makina gjurmë gishtash dhe për të shfaqur pop-up-e të rreme. Një mekanizëm ngarkimi skriptesh me kusht i prezantuar në qershor 2025 mundësoi shënjestrimin e përshtatur të domeneve individuale, megjithëse një ndërprerje e shkurtër në gusht lejoi që të gjitha 1,000 domenet të kompromentoheshin përpara se kufizimi të rivendosej.

Phishing i Avancuar dhe Inxhinieri Sociale

Që nga gushti i vitit 2024, APT24 ka kryer fushata shumë të synuara të phishing-ut, duke përdorur karrem si organizatat e shpëtimit të kafshëve. Viktimat marrin arkiva të koduara që përmbajnë BADAUDIO nëpërmjet Google Drive ose Microsoft OneDrive, me pikselë gjurmimi për të monitoruar angazhimin dhe për të optimizuar sulmet.
Kombinimi i manipulimit të zinxhirit të furnizimit, inxhinierisë së përparuar sociale dhe abuzimit me shërbimin cloud tregon aftësinë e APT24 për spiunazh të vazhdueshëm dhe adaptiv.

Operacionet e APT24 ilustrojnë kompleksitetin në rritje të kërcënimeve kibernetike të lidhura me shtetin, duke theksuar nevojën që organizatat të zbatojnë monitorim rigoroz të sigurisë, të verifikojnë integritetin e softuerit dhe të edukojnë personelin mbi rreziqet e sofistikuara të phishing-ut dhe zinxhirit të furnizimit.

Në trend

Mashtrim i Ndërprerë i Mesazhit Hyrës

Fishing, Spam
Kriminelët kibernetikë vazhdojnë të përsosin mashtrimin e bazuar në email, dhe mashtrimi 'Mesazhet hyrëse të ndaluara' është një tjetër shembull se si spam-i i hartuar bindshëm mund të joshë marrësit e pasigurt. Këto alarme mashtruese pretendojnë në mënyrë të rreme se mesazhet po fshihen nga kutia juaj hyrëse dhe përpiqen t'ju shtyjnë drejt një faqeje phishing. Është thelbësore të pranohet që...

Më e shikuara

Po ngarkohet...