Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер BADAUDIO

Злонамерни софтвер BADAUDIO

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Будност у погледу сајбер безбедности остаје неопходна јер актери претњи стално усавршавају своје тактике и стратегије. Група повезана са Кином, позната као APT24, користила је раније недокументовани злонамерни софтвер под називом BADAUDIO како би одржала дугорочни приступ циљаним мрежама. Ова активност је део кампање која траје скоро три године, истичући софистициране и адаптивне методе које користе напредне упорне претње (APT).

Од широких напада до циљаних операција

У почетку се APT24 ослањао на широке стратешке веб компромисе како би заразио легитимне веб странице. Временом је група преусмерила фокус ка прецизнијем циљању, посебно организација на Тајвану. Кључне методе укључују:

  • Напади на ланац снабдевања, као што су поновљена угрожавања регионалне фирме за дигитални маркетинг ради дистрибуције злонамерних скрипти.
  • Кампање фишинга усмерене на одређене појединце или организације.

APT24, позната и као Pitty Tiger, историјски се фокусирала на секторе укључујући владу, здравство, грађевинарство и инжењеринг, рударство, непрофитне организације и телекомуникације у САД и Тајвану. Докази указују на то да је група активна најмање од 2008. године, користећи фишинг имејлове који садрже злонамерне документе Microsoft Office-а који искоришћавају рањивости као што су CVE-2012-0158 и CVE-2014-1761.

Арсенал злонамерног софтвера: Од RAT-ова до BADAUDIO-а

APT24 је применио широк спектар породица злонамерног софтвера:

  • CT RAT
  • М РАТ (Голдсан-Б), варијанта програма Енфал/Лурид Даунлоадер
  • Паладин РАТ и Лео РАТ, варијанте Gh0st РАТ
  • Таидор (Рудан) задња врата

Новооткривени BADAUDIO се истиче својом софистицираношћу. Написан у C++ језику, веома је замагљен и користи спљоштавање контролног тока како би се одупро обрнутом инжењерингу. Делује као програм за преузимање прве фазе, способан да преузима, дешифрује и извршава AES-шифровани корисни терет са чврсто кодираног C2 (Command-and-Control) сервера.

BADAUDIO обично функционише као злонамерни DLL, користећи отмицу DLL претраге за извршавање путем легитимних апликација. Новије варијанте се испоручују као шифроване архиве које садрже DLL датотеке заједно са VBS, BAT и LNK датотекама.

Кампања BADAUDIO: Технике и извршење

Кампања BADAUDIO, која је у току од новембра 2022. године, ослањала се на више почетних вектора приступа:

  • Појилишта
  • Компромиси у ланцу снабдевања
  • Имејлови за фишинг

Од 2022. до почетка 2025. године, APT24 је компромитовао преко 20 легитимних веб локација, убризгавајући JavaScript који:

  • Искључени посетиоци са macOS-а, iOS-а и Android-а.
  • Генерисани јединствени отисци прстију прегледача помоћу FingerprintJS-а.
  • Приказани су искачући прозори који позивају кориснике да преузму BADAUDIO, прикривени као ажурирање за Google Chrome.

У јулу 2024. године, група је ескалирала нападом на ланац снабдевања преко регионалне фирме за дигитални маркетинг на Тајвану, убризгавајући злонамерни JavaScript у широко дистрибуирану библиотеку. Ово је утицало на више од 1.000 домена.

У нападу је коришћен CDN домен са погрешно написаним грешком за преузимање скрипти које контролише нападач, машина за отиске прстију и приказивање лажних искачућих прозора. Механизам за условно учитавање скрипти, уведен у јуну 2025. године, омогућио је прилагођено циљање појединачних домена, иако је кратак прекид у августу омогућио да свих 1.000 домена буде угрожено пре него што је ограничење поново успостављено.

Напредни фишинг и друштвени инжењеринг

Од августа 2024. године, APT24 спроводи високо циљане фишинг кампање, користећи мамце попут организација за спасавање животиња. Жртве добијају шифроване архиве које садрже BADAUDIO путем Google диска или Microsoft OneDrive-а, са пикселима за праћење како би се пратила интеракција и оптимизовали напади.
Комбинација манипулације ланцем снабдевања, напредног друштвеног инжењеринга и злоупотребе услуга у облаку показује способност APT24 за упорну, адаптивну шпијунажу.

Операције APT24 илуструју растућу сложеност сајбер претњи повезаних са државама, наглашавајући потребу да организације примене ригорозан безбедносни надзор, провере интегритет софтвера и едукују особље о софистицираном фишингу и ризицима у ланцу снабдевања.

У тренду

TAMECAT задња врата

Малваре, Напредна трајна претња (АПТ), Бацкдоорс
Појавио се талас шпијунских активности повезаних са иранском државном групом АПТ42, а аналитичари примећују фокусиране напоре против појединаца и организација повезаних са интересима Исламске...

Долазна порука паузирана превара

Пецање, Спам
Сајбер криминалци настављају да усавршавају обмане путем имејла, а превара „Долазна порука паузирана“ је још један пример како убедљиво креирана нежељена пошта може да примами неслутеће примаоце. Ова преварна упозорења лажно тврде да се поруке скривају из вашег пријемног сандучета и покушавају да вас гурају ка фишинг страници. Важно је препознати да ове имејлове нису повезане са cPanel-ом или...

Најгледанији

Злонамерних програма

Пецање, Спам
30,862
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...