BADAUDIO మాల్వేర్

సైబర్ భద్రతా నిఘా ఇప్పటికీ చాలా అవసరం ఎందుకంటే బెదిరింపులు ఎదుర్కొంటున్న వారు తమ వ్యూహాలను మరియు వ్యూహాలను నిరంతరం మెరుగుపరుస్తున్నారు. APT24 అని పిలువబడే చైనా-సంబంధిత సమూహం లక్ష్యంగా చేసుకున్న నెట్‌వర్క్‌లకు దీర్ఘకాలిక ప్రాప్యతను నిర్వహించడానికి BADAUDIO అనే గతంలో నమోదుకాని మాల్వేర్‌ను అమలు చేస్తోంది. ఈ కార్యాచరణ దాదాపు మూడు సంవత్సరాలుగా కొనసాగుతున్న ప్రచారంలో భాగం, అధునాతన నిరంతర బెదిరింపులు (APTలు) ఉపయోగించే అధునాతన మరియు అనుకూల పద్ధతులను హైలైట్ చేస్తుంది.

విస్తృత దాడుల నుండి లక్ష్యిత కార్యకలాపాల వరకు

ప్రారంభంలో, APT24 చట్టబద్ధమైన వెబ్‌సైట్‌లను ప్రభావితం చేయడానికి విస్తృత వ్యూహాత్మక వెబ్ రాజీలపై ఆధారపడింది. కాలక్రమేణా, ఈ బృందం మరింత ఖచ్చితమైన లక్ష్యాల వైపు దృష్టి సారించింది, ముఖ్యంగా తైవాన్‌లోని సంస్థలు. కీలక పద్ధతులు:

• సరఫరా గొలుసు దాడులు, హానికరమైన స్క్రిప్ట్‌లను పంపిణీ చేయడానికి ప్రాంతీయ డిజిటల్ మార్కెటింగ్ సంస్థ పదేపదే రాజీ పడటం వంటివి.
• నిర్దిష్ట వ్యక్తులు లేదా సంస్థలను లక్ష్యంగా చేసుకుని స్పియర్-ఫిషింగ్ ప్రచారాలు.

పిట్టీ టైగర్ అని కూడా పిలువబడే APT24, చారిత్రాత్మకంగా US మరియు తైవాన్‌లలో ప్రభుత్వం, ఆరోగ్య సంరక్షణ, నిర్మాణం మరియు ఇంజనీరింగ్, మైనింగ్, లాభాపేక్షలేని సంస్థలు మరియు టెలికమ్యూనికేషన్‌లతో సహా రంగాలపై దృష్టి సారించింది. CVE-2012-0158 మరియు CVE-2014-1761 వంటి దుర్బలత్వాలను ఉపయోగించుకునే హానికరమైన Microsoft Office పత్రాలను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించుకుంటూ, కనీసం 2008 నుండి ఈ సమూహం చురుకుగా ఉందని ఆధారాలు సూచిస్తున్నాయి.

మాల్వేర్ ఆర్సెనల్: RATల నుండి BADAUDIO వరకు

APT24 మాల్వేర్ కుటుంబాల విస్తృత శ్రేణిని మోహరించింది:

• సిటి రాట్
• ఎం రాట్ (గోల్డ్‌సన్-బి), ఎన్‌ఫాల్/లూరిడ్ డౌన్‌లోడ్ యొక్క వైవిధ్యం
• పలాడిన్ RAT మరియు లియో RAT, Gh0st RAT యొక్క వైవిధ్యాలు
• టైడూర్ (రౌడాన్) బ్యాక్‌డోర్

కొత్తగా పరిశీలించబడిన BADAUDIO దాని అధునాతనతకు ప్రత్యేకంగా నిలుస్తుంది. C++లో వ్రాయబడిన ఇది చాలా అస్పష్టంగా ఉంది మరియు రివర్స్ ఇంజనీరింగ్‌ను నిరోధించడానికి కంట్రోల్ ఫ్లో ఫ్లాటెనింగ్‌ను ఉపయోగిస్తుంది. ఇది మొదటి-దశ డౌన్‌లోడ్‌గా పనిచేస్తుంది, హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి AES-ఎన్‌క్రిప్టెడ్ పేలోడ్‌ను తిరిగి పొందడం, డీక్రిప్ట్ చేయడం మరియు అమలు చేయగలదు.

BADAUDIO సాధారణంగా హానికరమైన DLLగా పనిచేస్తుంది, చట్టబద్ధమైన అప్లికేషన్‌ల ద్వారా అమలు కోసం DLL శోధన ఆర్డర్ హైజాకింగ్‌ను ఉపయోగించుకుంటుంది. ఇటీవలి వేరియంట్‌లు VBS, BAT మరియు LNK ఫైల్‌లతో పాటు DLLలను కలిగి ఉన్న ఎన్‌క్రిప్టెడ్ ఆర్కైవ్‌లుగా డెలివరీ చేయబడతాయి.

BADAUDIO ప్రచారం: పద్ధతులు మరియు అమలు

నవంబర్ 2022 నుండి కొనసాగుతున్న BADAUDIO ప్రచారం బహుళ ప్రారంభ యాక్సెస్ వెక్టర్లపై ఆధారపడింది:

• నీటి గుంటలు
• సరఫరా గొలుసు రాజీలు
• స్పియర్-ఫిషింగ్ ఇమెయిల్‌లు

2022 నుండి 2025 ప్రారంభం వరకు, APT24 20 కి పైగా చట్టబద్ధమైన వెబ్‌సైట్‌లను రాజీ చేసింది, జావాస్క్రిప్ట్‌ను ఇంజెక్ట్ చేసింది:

• macOS, iOS మరియు Android నుండి మినహాయించబడిన సందర్శకులు.
• FingerprintJS ఉపయోగించి ప్రత్యేకమైన బ్రౌజర్ వేలిముద్రలను రూపొందించారు.
• Google Chrome అప్‌డేట్ లాగా BADAUDIO ని డౌన్‌లోడ్ చేసుకోవాలని వినియోగదారులను కోరుతూ పాప్-అప్‌లు ప్రదర్శించబడ్డాయి.

జూలై 2024లో, ఈ బృందం తైవాన్‌లోని ఒక ప్రాంతీయ డిజిటల్ మార్కెటింగ్ సంస్థ ద్వారా సరఫరా గొలుసు దాడితో తీవ్రమైంది, విస్తృతంగా పంపిణీ చేయబడిన లైబ్రరీలోకి హానికరమైన జావాస్క్రిప్ట్‌ను ఇంజెక్ట్ చేసింది. ఇది 1,000 కంటే ఎక్కువ డొమైన్‌లను ప్రభావితం చేసింది.

దాడి చేసేవారు నియంత్రించే స్క్రిప్ట్‌లు, వేలిముద్ర యంత్రాలను పొందడానికి మరియు నకిలీ పాప్-అప్‌లను అందించడానికి ఈ దాడి టైపోస్క్వాటెడ్ CDN డొమైన్‌ను ఉపయోగించింది. జూన్ 2025లో ప్రవేశపెట్టబడిన షరతులతో కూడిన స్క్రిప్ట్ లోడింగ్ విధానం వ్యక్తిగత డొమైన్‌లను నిర్దేశించిన లక్ష్యాన్ని ఎనేబుల్ చేసింది, అయితే ఆగస్టులో జరిగిన ఒక చిన్న లోపం కారణంగా పరిమితిని పునరుద్ధరించే ముందు అన్ని 1,000 డొమైన్‌లు రాజీ పడ్డాయి.

అధునాతన ఫిషింగ్ మరియు సోషల్ ఇంజనీరింగ్

ఆగస్టు 2024 నుండి, APT24 జంతు రక్షణ సంస్థల వంటి ఎరలను ఉపయోగించి అత్యంత లక్ష్యంగా చేసుకున్న ఫిషింగ్ ప్రచారాలను నిర్వహిస్తోంది. బాధితులు Google Drive లేదా Microsoft OneDrive ద్వారా BADAUDIO కలిగిన ఎన్‌క్రిప్టెడ్ ఆర్కైవ్‌లను అందుకుంటారు, నిశ్చితార్థాన్ని పర్యవేక్షించడానికి మరియు దాడులను ఆప్టిమైజ్ చేయడానికి ట్రాకింగ్ పిక్సెల్‌లతో.
సరఫరా గొలుసు మానిప్యులేషన్, అధునాతన సోషల్ ఇంజనీరింగ్ మరియు క్లౌడ్ సర్వీస్ దుర్వినియోగం కలయిక APT24 యొక్క నిరంతర, అనుకూల గూఢచర్య సామర్థ్యాన్ని ప్రదర్శిస్తుంది.

APT24 యొక్క కార్యకలాపాలు రాష్ట్ర-లింక్డ్ సైబర్ బెదిరింపుల పెరుగుతున్న సంక్లిష్టతను వివరిస్తాయి, సంస్థలు కఠినమైన భద్రతా పర్యవేక్షణను అమలు చేయడం, సాఫ్ట్‌వేర్ సమగ్రతను ధృవీకరించడం మరియు అధునాతన ఫిషింగ్ మరియు సరఫరా గొలుసు ప్రమాదాలపై సిబ్బందికి అవగాహన కల్పించాల్సిన అవసరాన్ని నొక్కి చెబుతున్నాయి.