Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım BADAUDIO Kötü Amaçlı Yazılım

BADAUDIO Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik konusunda tetikte olmak, tehdit aktörlerinin taktik ve stratejilerini sürekli olarak geliştirmesiyle önemini koruyor. Çin bağlantılı APT24 adlı bir grup, hedeflenen ağlara uzun vadeli erişim sağlamak için BADAUDIO adlı daha önce belgelenmemiş bir kötü amaçlı yazılım kullanıyor. Bu faaliyet, gelişmiş kalıcı tehditlerin (APT'ler) kullandığı karmaşık ve uyarlanabilir yöntemleri vurgulayan ve yaklaşık üç yıldır devam eden bir kampanyanın parçası.

Geniş Kapsamlı Saldırılardan Hedefli Operasyonlara

Başlangıçta APT24, meşru web sitelerini etkilemek için geniş kapsamlı stratejik web saldırılarına güveniyordu. Zamanla grup, özellikle Tayvan'daki kuruluşlar olmak üzere daha hassas hedeflemeye odaklandı. Başlıca yöntemler şunlardır:

  • Bölgesel bir dijital pazarlama firmasının kötü amaçlı komut dosyalarını dağıtmak için tekrarlanan saldırıları gibi tedarik zinciri saldırıları.
  • Belirli kişileri veya kuruluşları hedef alan hedefli kimlik avı kampanyaları.

Pitty Tiger olarak da bilinen APT24, geçmişte ABD ve Tayvan'da hükümet, sağlık, inşaat ve mühendislik, madencilik, kâr amacı gütmeyen kuruluşlar ve telekomünikasyon gibi sektörlere odaklanmıştır. Kanıtlar, grubun en az 2008'den beri faaliyet gösterdiğini ve CVE-2012-0158 ve CVE-2014-1761 gibi güvenlik açıklarından yararlanan kötü amaçlı Microsoft Office belgeleri içeren kimlik avı e-postaları kullandığını göstermektedir.

Kötü Amaçlı Yazılım Cephaneliği: RAT’lerden BADAUDIO’ya

APT24 çok çeşitli kötü amaçlı yazılım aileleri konuşlandırdı:

  • CT RAT
  • M RAT (Goldsun-B), Enfal/Lurid Downloader'ın bir çeşididir
  • Paladin RAT ve Leo RAT, Gh0st RAT'ın çeşitleri
  • Taidoor (Roudan) arka kapısı

Yeni keşfedilen BADAUDIO, gelişmişliğiyle öne çıkıyor. C++ ile yazılmış, oldukça karmaşık bir yapıya sahip ve tersine mühendisliğe karşı koymak için kontrol akışı düzleştirme teknolojisini kullanıyor. Sabit kodlu bir Komuta ve Kontrol (C2) sunucusundan AES şifreli bir yükü alıp şifresini çözebilen ve çalıştırabilen, birinci aşama bir indirici görevi görüyor.

BADAUDIO, genellikle meşru uygulamalar üzerinden yürütme için DLL Arama Sırası Ele Geçirme özelliğini kullanan kötü amaçlı bir DLL olarak çalışır. Son versiyonları, DLL'lerin yanı sıra VBS, BAT ve LNK dosyaları içeren şifreli arşivler olarak sunulur.

BADAUDIO Kampanyası: Teknikler ve Uygulama

Kasım 2022'den beri devam eden BADAUDIO kampanyası, birden fazla ilk erişim vektörüne dayanıyordu:

  • Sulama delikleri
  • Tedarik zinciri uzlaşmaları
  • Hedefli kimlik avı e-postaları

2022'den 2025'in başlarına kadar APT24, 20'den fazla meşru web sitesini tehlikeye attı ve şu JavaScript'i enjekte etti:

  • macOS, iOS ve Android'den gelen ziyaretçiler hariç tutuldu.
  • FingerprintJS kullanılarak benzersiz tarayıcı parmak izleri oluşturuldu.
  • BADAUDIO'yu indirmeleri için kullanıcıları teşvik eden pop-up'lar, Google Chrome güncellemesi kisvesi altında gösterildi.

Temmuz 2024'te grup, Tayvan'daki bölgesel bir dijital pazarlama firması aracılığıyla gerçekleştirdiği bir tedarik zinciri saldırısıyla durumu daha da ileri taşıdı ve yaygın olarak dağıtılan bir kütüphaneye kötü amaçlı JavaScript enjekte etti. Bu saldırı 1.000'den fazla alan adını etkiledi.

Saldırıda, saldırgan tarafından kontrol edilen betikleri, parmak izi makinelerini almak ve sahte açılır pencereler sunmak için yazım hatası içeren bir CDN alan adı kullanıldı. Haziran 2025'te kullanıma sunulan koşullu betik yükleme mekanizması, tek tek alan adlarının özel olarak hedeflenmesini sağladı; ancak Ağustos ayındaki kısa bir ara, kısıtlama yeniden yürürlüğe girmeden önce 1.000 alan adının tamamının ele geçirilmesine izin verdi.

Gelişmiş Kimlik Avı ve Sosyal Mühendislik

APT24, Ağustos 2024'ten bu yana hayvan kurtarma örgütleri gibi yemler kullanarak son derece hedefli kimlik avı kampanyaları yürütüyor. Mağdurlar, etkileşimi izlemek ve saldırıları optimize etmek için izleme pikselleriyle birlikte Google Drive veya Microsoft OneDrive aracılığıyla BADAUDIO içeren şifreli arşivler alıyor.
Tedarik zinciri manipülasyonu, gelişmiş sosyal mühendislik ve bulut hizmeti kötüye kullanımının birleşimi, APT24'ün kalıcı, uyarlanabilir casusluk yeteneğini göstermektedir.

APT24'ün operasyonları, devlet bağlantılı siber tehditlerin giderek artan karmaşıklığını ortaya koyarak, kuruluşların sıkı güvenlik izleme uygulamaları, yazılım bütünlüğünü doğrulamaları ve personeli karmaşık kimlik avı ve tedarik zinciri riskleri konusunda eğitmeleri gerektiğini vurgulamaktadır.

trend

Gelen Mesaj Duraklatıldı Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber suçlular e-posta tabanlı aldatmacayı geliştirmeye devam ediyor ve "Gelen Mesaj Duraklatıldı" dolandırıcılığı, ikna edici bir şekilde hazırlanmış spam'lerin şüphesiz alıcıları nasıl cezbedebileceğinin bir başka örneği. Bu sahte uyarılar, mesajların gelen kutunuzdan gizlendiğini iddia ederek sizi bir kimlik avı sayfasına yönlendirmeye çalışır. Bu e-postaların cPanel veya başka herhangi bir...

En çok görüntülenen

Yükleniyor...