Rabattoffert för flera licenser
Hotdatabas Skadlig programvara BADAUDIO-skadlig programvara

BADAUDIO-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsvaksamhet är fortfarande avgörande eftersom hotaktörer ständigt förfinar sina taktiker och strategier. En Kina-kopplad grupp, känd som APT24, har distribuerat en tidigare odokumenterad skadlig kod som heter BADAUDIO för att upprätthålla långsiktig åtkomst till riktade nätverk. Denna aktivitet är en del av en kampanj som har pågått i nästan tre år och belyser de sofistikerade och anpassningsbara metoder som används av avancerade ihållande hot (APT).

Från breda attacker till riktade operationer

Inledningsvis förlitade sig APT24 på breda strategiska webbingrepp för att infektera legitima webbplatser. Med tiden har gruppen skiftat fokus till mer exakt målgruppsinriktning, särskilt organisationer i Taiwan. Viktiga metoder inkluderar:

  • Attacker i leveranskedjan, såsom upprepade intrång i ett regionalt digitalt marknadsföringsföretag för att distribuera skadliga skript.
  • Spear-phishing-kampanjer riktade mot specifika individer eller organisationer.

APT24, även känt som Pitty Tiger, har historiskt sett fokuserat på sektorer som myndigheter, sjukvård, bygg och teknik, gruvdrift, ideella organisationer och telekommunikation i USA och Taiwan. Det finns bevis som tyder på att gruppen har varit aktiv sedan åtminstone 2008 och utnyttjat nätfiskemejl som innehåller skadliga Microsoft Office-dokument och som utnyttjar sårbarheter som CVE-2012-0158 och CVE-2014-1761.

Skadlig programvara: Från RAT till BADAUDIO

APT24 har distribuerat ett brett utbud av familjer av skadlig kod:

  • CT-RÅTTA
  • M RAT (Goldsun-B), en variant av Enfal/Lurid Downloader
  • Paladin RAT och Leo RAT, varianter av Gh0st RAT
  • Taidoor (Roudan) bakdörr

Den nyligen observerade BADAUDIO utmärker sig för sin sofistikering. Skriven i C++ är den mycket obfuskerad och använder kontrollflödesutjämning för att motstå reverse engineering. Den fungerar som en förstastegsnedladdare, kapabel att hämta, dekryptera och exekvera en AES-krypterad nyttolast från en hårdkodad Command-and-Control (C2)-server.

BADAUDIO fungerar vanligtvis som en skadlig DLL-fil som utnyttjar DLL Search Order Hijacking för exekvering via legitima applikationer. Nyare varianter levereras som krypterade arkiv som innehåller DLL-filer tillsammans med VBS-, BAT- och LNK-filer.

BADAUDIO-kampanjen: Tekniker och utförande

BADAUDIO-kampanjen, som pågått sedan november 2022, har förlitat sig på flera initiala åtkomstvektorer:

  • Vattenhål
  • Kompromësser i leveranskedjan
  • Spear-phishing-mejl

Från 2022 till början av 2025 komprometterade APT24 över 20 legitima webbplatser och injicerade JavaScript som:

  • Uteslutna besökare från macOS, iOS och Android.
  • Genererade unika webbläsarfingeravtryck med hjälp av FingerprintJS.
  • Visade popup-fönster som uppmanade användare att ladda ner BADAUDIO förklädda som en Google Chrome-uppdatering.

I juli 2024 eskalerade gruppen med en leveranskedjeattack via ett regionalt digitalt marknadsföringsföretag i Taiwan, där skadlig JavaScript-kod injicerades i ett brett distribuerat bibliotek. Detta påverkade mer än 1 000 domäner.

Attacken använde en typosquattad CDN-domän för att hämta angriparstyrda skript, fingeravtrycksmaskiner och visa falska popup-fönster. En villkorlig skriptinläsningsmekanism som introducerades i juni 2025 möjliggjorde skräddarsydd inriktning på enskilda domäner, även om ett kort uppehåll i augusti gjorde det möjligt att kompromettera alla 1 000 domäner innan begränsningen återinfördes.

Avancerad nätfiske och social ingenjörskonst

Sedan augusti 2024 har APT24 genomfört riktade nätfiskekampanjer med hjälp av lockbete som djurräddningsorganisationer. Offren får krypterade arkiv som innehåller BADAUDIO via Google Drive eller Microsoft OneDrive, med spårningspixlar för att övervaka engagemang och optimera attacker.
Kombinationen av manipulation av leveranskedjan, avancerad social ingenjörskonst och missbruk av molntjänster visar på APT24:s förmåga till ihållande, adaptiv spionage.

APT24:s verksamhet illustrerar den växande komplexiteten hos statskopplade cyberhot och betonar behovet av att organisationer implementerar rigorös säkerhetsövervakning, verifierar programvaruintegritet och utbildar personal om sofistikerade nätfiske- och leveranskedjerisker.

Trendigt

Mest sedda

Läser in...