มัลแวร์ BADAUDIO
การเฝ้าระวังความปลอดภัยทางไซเบอร์ยังคงเป็นสิ่งสำคัญ เนื่องจากผู้ก่อภัยคุกคามยังคงพัฒนากลยุทธ์และกลยุทธ์อย่างต่อเนื่อง กลุ่ม APT24 ซึ่งเชื่อมโยงกับจีน ได้ใช้มัลแวร์ BADAUDIO ซึ่งยังไม่มีการบันทึกข้อมูลมาก่อน เพื่อรักษาการเข้าถึงเครือข่ายเป้าหมายในระยะยาว กิจกรรมนี้เป็นส่วนหนึ่งของแคมเปญที่ดำเนินมาเกือบสามปี โดยเน้นย้ำถึงวิธีการที่ซับซ้อนและปรับตัวได้ซึ่งใช้โดยภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT)
สารบัญ
จากการโจมตีแบบกว้างๆ สู่การปฏิบัติการแบบกำหนดเป้าหมาย
ในช่วงแรก APT24 อาศัยการโจมตีทางเว็บเชิงกลยุทธ์แบบกว้างๆ เพื่อโจมตีเว็บไซต์ที่ถูกกฎหมาย เมื่อเวลาผ่านไป กลุ่มได้เปลี่ยนโฟกัสไปที่การกำหนดเป้าหมายที่แม่นยำยิ่งขึ้น โดยเฉพาะอย่างยิ่งองค์กรในไต้หวัน วิธีการหลักๆ ได้แก่:
- การโจมตีห่วงโซ่อุปทาน เช่น การโจมตีซ้ำๆ ของบริษัทการตลาดดิจิทัลในภูมิภาคเพื่อเผยแพร่สคริปต์ที่เป็นอันตราย
- แคมเปญฟิชชิงแบบเจาะจงที่มุ่งเป้าไปที่บุคคลหรือองค์กรเฉพาะ
APT24 หรือที่รู้จักกันในชื่อ Pitty Tiger เดิมทีมุ่งเน้นไปที่ภาคส่วนต่างๆ ได้แก่ ภาครัฐ สาธารณสุข การก่อสร้างและวิศวกรรม เหมืองแร่ องค์กรไม่แสวงหาผลกำไร และโทรคมนาคมในสหรัฐอเมริกาและไต้หวัน หลักฐานบ่งชี้ว่ากลุ่มนี้ดำเนินการมาอย่างน้อยตั้งแต่ปี 2008 โดยใช้ประโยชน์จากอีเมลฟิชชิ่งที่มีเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งใช้ประโยชน์จากช่องโหว่ต่างๆ เช่น CVE-2012-0158 และ CVE-2014-1761
Malware Arsenal: จาก RATs สู่ BADAUDIO
APT24 ได้นำมัลแวร์มาใช้งานหลากหลายตระกูล:
- CT หนู
- M RAT (Goldsun-B) ซึ่งเป็นตัวแปรของ Enfal/Lurid Downloader
- Paladin RAT และ Leo RAT สายพันธุ์ของ Gh0st RAT
- ไทดูร์ (รูแดน) ประตูหลัง
BADAUDIO ที่เพิ่งค้นพบใหม่นี้โดดเด่นด้วยความซับซ้อน เขียนด้วยภาษา C++ มีความซับซ้อนสูง และใช้การควบคุมการไหลแบบแบนราบเพื่อป้องกันการวิศวกรรมย้อนกลับ ทำหน้าที่เป็นตัวดาวน์โหลดขั้นแรก ซึ่งสามารถดึงข้อมูล ถอดรหัส และเรียกใช้เพย์โหลดที่เข้ารหัส AES จากเซิร์ฟเวอร์ Command-and-Control (C2) ที่ฮาร์ดโค้ดได้
โดยทั่วไปแล้ว BADAUDIO จะทำงานเป็น DLL ที่เป็นอันตราย โดยใช้ประโยชน์จาก DLL Search Order Hijacking เพื่อเรียกใช้งานผ่านแอปพลิเคชันที่ถูกต้องตามกฎหมาย เวอร์ชันล่าสุดจะถูกส่งเป็นไฟล์เก็บถาวรที่เข้ารหัสซึ่งประกอบด้วย DLL ควบคู่ไปกับไฟล์ VBS, BAT และ LNK
แคมเปญ BADAUDIO: เทคนิคและการดำเนินการ
แคมเปญ BADAUDIO ที่ดำเนินมาตั้งแต่เดือนพฤศจิกายน 2022 อาศัยเวกเตอร์การเข้าถึงเริ่มต้นหลายรายการ:
- แหล่งน้ำ
- การประนีประนอมห่วงโซ่อุปทาน
- อีเมลฟิชชิ่งแบบเจาะจง
ตั้งแต่ปี 2022 ถึงต้นปี 2025 APT24 ได้เจาะเว็บไซต์ที่ถูกกฎหมายมากกว่า 20 แห่ง โดยแทรก JavaScript ที่:
- ยกเว้นผู้เยี่ยมชมจาก macOS, iOS และ Android
- สร้างลายนิ้วมือเบราว์เซอร์ที่ไม่ซ้ำกันโดยใช้ FingerprintJS
- แสดงป๊อปอัปกระตุ้นให้ผู้ใช้ดาวน์โหลด BADAUDIO โดยปลอมตัวเป็นอัปเดต Google Chrome
ในเดือนกรกฎาคม พ.ศ. 2567 กลุ่มนี้ได้ขยายวงการโจมตีซัพพลายเชนผ่านบริษัทการตลาดดิจิทัลระดับภูมิภาคในไต้หวัน โดยแทรก JavaScript ที่เป็นอันตรายลงในไลบรารีที่กระจายอยู่ทั่วไป ส่งผลให้โดเมนได้รับผลกระทบมากกว่า 1,000 โดเมน
การโจมตีครั้งนี้ใช้โดเมน CDN ที่ถูก typosquatted เพื่อดึงสคริปต์ที่ควบคุมโดยผู้โจมตี เครื่องสแกนลายนิ้วมือ และแสดงป๊อปอัปปลอม กลไกการโหลดสคริปต์แบบมีเงื่อนไขที่นำมาใช้ในเดือนมิถุนายน 2568 ช่วยให้สามารถกำหนดเป้าหมายโดเมนเฉพาะเจาะจงได้ แม้ว่าการหยุดชะงักเพียงช่วงสั้นๆ ในเดือนสิงหาคมจะทำให้โดเมนทั้ง 1,000 โดเมนถูกบุกรุกก่อนที่จะมีการบังคับใช้ข้อจำกัดอีกครั้ง
ฟิชชิ่งขั้นสูงและวิศวกรรมสังคม
ตั้งแต่เดือนสิงหาคม พ.ศ. 2567 APT24 ได้ดำเนินการแคมเปญฟิชชิงแบบเจาะจงเป้าหมาย โดยใช้เหยื่อล่อเหยื่อ เช่น องค์กรช่วยเหลือสัตว์ เหยื่อจะได้รับไฟล์เก็บถาวรที่เข้ารหัสซึ่งมี BADAUDIO ผ่าน Google Drive หรือ Microsoft OneDrive พร้อมพิกเซลติดตามเพื่อติดตามการมีส่วนร่วมและเพิ่มประสิทธิภาพการโจมตี
การผสมผสานระหว่างการจัดการห่วงโซ่อุปทาน วิศวกรรมสังคมขั้นสูง และการละเมิดบริการคลาวด์ แสดงให้เห็นถึงความสามารถของ APT24 ในการจารกรรมที่ปรับเปลี่ยนได้อย่างต่อเนื่อง
การดำเนินงานของ APT24 แสดงให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้นของภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับรัฐ โดยเน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ จะต้องดำเนินการตรวจสอบความปลอดภัยที่เข้มงวด ตรวจสอบความสมบูรณ์ของซอฟต์แวร์ และให้ความรู้แก่บุคลากรเกี่ยวกับฟิชชิ่งที่ซับซ้อนและความเสี่ยงในห่วงโซ่อุปทาน
