Multi-License Discount Quote
Banta sa Database Malware BADAUDIO Malware

BADAUDIO Malware

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)
Isalin To:

Ang pagbabantay sa cybersecurity ay nananatiling mahalaga habang ang mga aktor ng pagbabanta ay patuloy na nililinaw ang kanilang mga taktika at estratehiya. Ang isang grupong naka-link sa China na kilala bilang APT24 ay nagde-deploy ng dati nang hindi dokumentado na malware na tinatawag na BADAUDIO upang mapanatili ang pangmatagalang access sa mga naka-target na network. Ang aktibidad na ito ay bahagi ng isang kampanyang nagtagal ng halos tatlong taon, na nagha-highlight sa mga sopistikado at adaptive na pamamaraan na ginagamit ng advanced persistent threats (APTs).

Mula sa Malawak na Pag-atake hanggang sa Mga Naka-target na Operasyon

Sa una, ang APT24 ay umasa sa malawak na madiskarteng mga kompromiso sa web upang mahawahan ang mga lehitimong website. Sa paglipas ng panahon, inilipat ng grupo ang pagtuon sa mas tumpak na pag-target, lalo na ang mga organisasyon sa Taiwan. Kabilang sa mga pangunahing pamamaraan ang:

  • Mga pag-atake sa supply chain, tulad ng mga paulit-ulit na kompromiso ng isang regional digital marketing firm para mamahagi ng mga nakakahamak na script.
  • Mga spear-phishing na campaign na nagta-target ng mga partikular na indibidwal o organisasyon.

Ang APT24, na kilala rin bilang Pitty Tiger, ay dating nakatuon sa mga sektor kabilang ang gobyerno, pangangalaga sa kalusugan, konstruksiyon at engineering, pagmimina, nonprofit, at telekomunikasyon sa US at Taiwan. Iminumungkahi ng ebidensya na ang grupo ay naging aktibo mula noong hindi bababa sa 2008, na gumagamit ng mga phishing na email na naglalaman ng mga nakakahamak na dokumento ng Microsoft Office na nagsasamantala sa mga kahinaan gaya ng CVE-2012-0158 at CVE-2014-1761.

Malware Arsenal: Mula sa RAT hanggang BADAUDIO

Nag-deploy ang APT24 ng malawak na hanay ng mga pamilya ng malware:

  • CT DAGA
  • M RAT (Goldsun-B), isang variant ng Enfal/Lurid Downloader
  • Paladin RAT at Leo RAT, mga variant ng Gh0st RAT
  • Taidoor (Roudan) backdoor

Ang bagong naobserbahang BADAUDIO ay namumukod-tangi sa pagiging sopistikado nito. Nakasulat sa C++, ito ay lubos na na-obfuscated at gumagamit ng control flow flattening upang labanan ang reverse engineering. Ito ay gumaganap bilang isang first-stage downloader, na may kakayahang kunin, i-decrypt, at i-execute ang isang AES-encrypted payload mula sa isang hard-coded Command-and-Control (C2) server.

Ang BADAUDIO ay karaniwang gumagana bilang isang nakakahamak na DLL, na gumagamit ng DLL Search Order Hijacking para sa pagpapatupad sa pamamagitan ng mga lehitimong application. Ang mga kamakailang variant ay inihahatid bilang mga naka-encrypt na archive na naglalaman ng mga DLL kasama ng mga VBS, BAT, at LNK na mga file.

Ang BADAUDIO Campaign: Techniques and Execution

Ang kampanyang BADAUDIO, na nagpapatuloy mula noong Nobyembre 2022, ay umasa sa maraming paunang access vector:

  • Mga butas sa pagdidilig
  • Nakompromiso ang supply chain
  • Spear-phishing na mga email

Mula 2022 hanggang unang bahagi ng 2025, nakompromiso ng APT24 ang mahigit 20 lehitimong website, na nag-inject ng JavaScript na:

  • Ibinukod ang mga bisita mula sa macOS, iOS, at Android.
  • Nakabuo ng mga natatanging fingerprint ng browser gamit ang FingerprintJS.
  • Mga ipinapakitang pop-up na humihimok sa mga user na i-download ang BADAUDIO na itinago bilang isang update sa Google Chrome.

Noong Hulyo 2024, lumaki ang grupo sa isang pag-atake sa supply chain sa pamamagitan ng isang regional digital marketing firm sa Taiwan, na nag-inject ng nakakahamak na JavaScript sa isang malawak na ipinamamahaging library. Naapektuhan nito ang higit sa 1,000 mga domain.

Gumamit ang pag-atake ng typosquatted CDN domain para kumuha ng mga script na kontrolado ng attacker, fingerprint machine, at maghatid ng mga pekeng pop-up. Ang isang kondisyong mekanismo sa pag-load ng script na ipinakilala noong Hunyo 2025 ay nag-enable ng iniangkop na pag-target ng mga indibidwal na domain, bagama't ang isang maikling paglipas noong Agosto ay nagbigay-daan sa lahat ng 1,000 na domain na makompromiso bago maibalik ang paghihigpit.

Advanced na Phishing at Social Engineering

Mula noong Agosto 2024, ang APT24 ay nagsagawa ng lubos na naka-target na mga kampanya sa phishing, gamit ang mga pang-akit tulad ng mga organisasyong nagligtas ng mga hayop. Ang mga biktima ay tumatanggap ng mga naka-encrypt na archive na naglalaman ng BADAUDIO sa pamamagitan ng Google Drive o Microsoft OneDrive, na may mga tracking pixel upang masubaybayan ang pakikipag-ugnayan at i-optimize ang mga pag-atake.
Ang kumbinasyon ng pagmamanipula ng supply chain, advanced na social engineering, at pag-abuso sa serbisyo sa cloud ay nagpapakita ng kakayahan ng APT24 para sa paulit-ulit, adaptive na espionage.

Inilalarawan ng mga operasyon ng APT24 ang lumalaking kumplikado ng mga banta sa cyber na nauugnay sa estado, na binibigyang-diin ang pangangailangan para sa mga organisasyon na magpatupad ng mahigpit na pagsubaybay sa seguridad, i-verify ang integridad ng software, at turuan ang mga tauhan sa mga sopistikadong panganib sa phishing at supply chain.

Trending

Pinaka Nanood

Naglo-load...