BADAUDIO Malware

அச்சுறுத்தல் நபர்கள் தொடர்ந்து தங்கள் தந்திரோபாயங்களையும் உத்திகளையும் செம்மைப்படுத்துவதால் சைபர் பாதுகாப்பு விழிப்புணர்வு அவசியமாக உள்ளது. APT24 எனப்படும் சீனாவுடன் இணைக்கப்பட்ட குழு, இலக்கு வைக்கப்பட்ட நெட்வொர்க்குகளுக்கான நீண்டகால அணுகலைப் பராமரிக்க, முன்னர் ஆவணப்படுத்தப்படாத BADAUDIO எனப்படும் தீம்பொருளைப் பயன்படுத்தி வருகிறது. இந்த செயல்பாடு கிட்டத்தட்ட மூன்று ஆண்டுகளாக நீடித்து வரும் பிரச்சாரத்தின் ஒரு பகுதியாகும், இது மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்கள் (APTகள்) பயன்படுத்தும் அதிநவீன மற்றும் தகவமைப்பு முறைகளை எடுத்துக்காட்டுகிறது.

பரந்த தாக்குதல்கள் முதல் இலக்கு வைக்கப்பட்ட நடவடிக்கைகள் வரை

ஆரம்பத்தில், APT24 முறையான வலைத்தளங்களைப் பாதிக்க பரந்த மூலோபாய வலை சமரசங்களை நம்பியிருந்தது. காலப்போக்கில், குழு மிகவும் துல்லியமான இலக்குகளை நோக்கி, குறிப்பாக தைவானில் உள்ள நிறுவனங்களை நோக்கி கவனம் செலுத்தியுள்ளது. முக்கிய முறைகள் பின்வருமாறு:

• தீங்கிழைக்கும் ஸ்கிரிப்ட்களை விநியோகிக்க ஒரு பிராந்திய டிஜிட்டல் மார்க்கெட்டிங் நிறுவனத்தின் தொடர்ச்சியான சமரசங்கள் போன்ற விநியோகச் சங்கிலி தாக்குதல்கள்.
• குறிப்பிட்ட தனிநபர்கள் அல்லது நிறுவனங்களை இலக்காகக் கொண்ட ஈட்டி-ஃபிஷிங் பிரச்சாரங்கள்.

பிட்டி டைகர் என்றும் அழைக்கப்படும் APT24, வரலாற்று ரீதியாக அமெரிக்கா மற்றும் தைவானில் அரசு, சுகாதாரம், கட்டுமானம் மற்றும் பொறியியல், சுரங்கம், இலாப நோக்கற்ற நிறுவனங்கள் மற்றும் தொலைத்தொடர்பு உள்ளிட்ட துறைகளில் கவனம் செலுத்தி வருகிறது. CVE-2012-0158 மற்றும் CVE-2014-1761 போன்ற பாதிப்புகளைப் பயன்படுத்திக் கொள்ளும் தீங்கிழைக்கும் Microsoft Office ஆவணங்களைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தி, குறைந்தது 2008 முதல் இந்தக் குழு செயல்பட்டு வருவதாக சான்றுகள் தெரிவிக்கின்றன.

மால்வேர் ஆயுதக் கிடங்கு: RATகள் முதல் BADAUDIO வரை

APT24 பல்வேறு வகையான தீம்பொருள் குடும்பங்களைப் பயன்படுத்தியுள்ளது:

• சிடி எலி
• எம் ராட் (கோல்ட்சன்-பி), என்ஃபால்/லூரிட் டவுன்லோடரின் ஒரு மாறுபாடு
• பலடின் RAT மற்றும் லியோ RAT, Gh0st RAT இன் வகைகள்
• தைதூர் (ரவுடன்) பின்புறக் கதவு

புதிதாகக் கண்டறியப்பட்ட BADAUDIO அதன் நுட்பத்திற்காக தனித்து நிற்கிறது. C++ இல் எழுதப்பட்ட இது, மிகவும் தெளிவற்றதாகவும், தலைகீழ் பொறியியலை எதிர்க்க கட்டுப்பாட்டு ஓட்ட தட்டையாக்கலைப் பயன்படுத்துகிறது. இது ஒரு முதல்-நிலை பதிவிறக்கியாகச் செயல்படுகிறது, கடின-குறியிடப்பட்ட கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்திலிருந்து AES-குறியாக்கப்பட்ட பேலோடை மீட்டெடுக்க, மறைகுறியாக்க மற்றும் செயல்படுத்தும் திறன் கொண்டது.

BADAUDIO பொதுவாக ஒரு தீங்கிழைக்கும் DLL ஆக செயல்படுகிறது, இது DLL தேடல் ஆர்டர் ஹைஜாக்கிங்கை முறையான பயன்பாடுகள் வழியாக செயல்படுத்துவதற்குப் பயன்படுத்துகிறது. சமீபத்திய வகைகள் VBS, BAT மற்றும் LNK கோப்புகளுடன் DLLகளைக் கொண்ட மறைகுறியாக்கப்பட்ட காப்பகங்களாக வழங்கப்படுகின்றன.

படாடியோ பிரச்சாரம்: நுட்பங்கள் மற்றும் செயல்படுத்தல்

நவம்பர் 2022 முதல் நடந்து வரும் BADAUDIO பிரச்சாரம், பல ஆரம்ப அணுகல் திசையன்களை நம்பியுள்ளது:

• நீர்ப்பாசன துளைகள்
• விநியோகச் சங்கிலி சமரசம் செய்கிறது
• ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்கள்

2022 முதல் 2025 ஆம் ஆண்டின் முற்பகுதி வரை, APT24 20 க்கும் மேற்பட்ட முறையான வலைத்தளங்களை சமரசம் செய்து, ஜாவாஸ்கிரிப்டை உட்செலுத்தியது:

• macOS, iOS மற்றும் Android இலிருந்து பார்வையாளர்கள் விலக்கப்பட்டுள்ளனர்.
• FingerprintJS ஐப் பயன்படுத்தி தனித்துவமான உலாவி கைரேகைகளை உருவாக்கியது.
• கூகிள் குரோம் புதுப்பிப்பு போல மாறுவேடமிட்டு BADAUDIO ஐ பதிவிறக்கம் செய்ய பயனர்களை வலியுறுத்தும் பாப்-அப்கள் காட்டப்பட்டன.

ஜூலை 2024 இல், தைவானில் உள்ள ஒரு பிராந்திய டிஜிட்டல் மார்க்கெட்டிங் நிறுவனம் மூலம் விநியோகச் சங்கிலித் தாக்குதலுடன் இந்தக் குழு தீவிரமடைந்தது, பரவலாக விநியோகிக்கப்பட்ட நூலகத்தில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்டை செலுத்தியது. இது 1,000 க்கும் மேற்பட்ட டொமைன்களைப் பாதித்தது.

இந்தத் தாக்குதல், தாக்குபவர் கட்டுப்படுத்தும் ஸ்கிரிப்டுகள், கைரேகை இயந்திரங்கள் மற்றும் போலி பாப்-அப்களை வழங்க, தட்டச்சு செய்யப்பட்ட CDN டொமைனைப் பயன்படுத்தியது. ஜூன் 2025 இல் அறிமுகப்படுத்தப்பட்ட ஒரு நிபந்தனை ஸ்கிரிப்ட் ஏற்றுதல் பொறிமுறையானது தனிப்பட்ட டொமைன்களை இலக்காகக் கொண்டதாக மாற்றுவதை சாத்தியமாக்கியது, இருப்பினும் ஆகஸ்ட் மாதத்தில் ஏற்பட்ட ஒரு சிறிய தாமதம் கட்டுப்பாடு மீண்டும் நிலைநிறுத்தப்படுவதற்கு முன்பு அனைத்து 1,000 டொமைன்களையும் சமரசம் செய்ய அனுமதித்தது.

மேம்பட்ட ஃபிஷிங் மற்றும் சமூகப் பொறியியல்

ஆகஸ்ட் 2024 முதல், APT24 விலங்கு மீட்பு அமைப்புகள் போன்ற கவர்ச்சிகரமான வழிகளைப் பயன்படுத்தி அதிக இலக்கு வைக்கப்பட்ட ஃபிஷிங் பிரச்சாரங்களை நடத்தி வருகிறது. பாதிக்கப்பட்டவர்கள், ஈடுபாட்டைக் கண்காணிக்கவும் தாக்குதல்களை மேம்படுத்தவும் கண்காணிப்பு பிக்சல்களுடன், Google Drive அல்லது Microsoft OneDrive வழியாக BADAUDIO அடங்கிய மறைகுறியாக்கப்பட்ட காப்பகங்களைப் பெறுகிறார்கள்.
விநியோகச் சங்கிலி கையாளுதல், மேம்பட்ட சமூக பொறியியல் மற்றும் கிளவுட் சேவை துஷ்பிரயோகம் ஆகியவற்றின் கலவையானது APT24 இன் தொடர்ச்சியான, தகவமைப்பு உளவு பார்க்கும் திறனை நிரூபிக்கிறது.

APT24 இன் செயல்பாடுகள், அரசு-இணைக்கப்பட்ட சைபர் அச்சுறுத்தல்களின் வளர்ந்து வரும் சிக்கலான தன்மையை விளக்குகின்றன, நிறுவனங்கள் கடுமையான பாதுகாப்பு கண்காணிப்பை செயல்படுத்துதல், மென்பொருள் ஒருமைப்பாட்டைச் சரிபார்த்தல் மற்றும் அதிநவீன ஃபிஷிங் மற்றும் விநியோகச் சங்கிலி அபாயங்கள் குறித்து பணியாளர்களுக்குக் கல்வி கற்பித்தல் ஆகியவற்றின் அவசியத்தை வலியுறுத்துகின்றன.