Шкідливе програмне забезпечення BADAUDIO
Пильність у сфері кібербезпеки залишається важливою, оскільки зловмисники постійно вдосконалюють свою тактику та стратегії. Пов’язана з Китаєм група, відома як APT24, розгортає раніше не документоване шкідливе програмне забезпечення під назвою BADAUDIO для забезпечення довгострокового доступу до цільових мереж. Ця діяльність є частиною кампанії, яка триває майже три роки та висвітлює складні та адаптивні методи, що використовуються передовими стійкими загрозами (APT).
Зміст
Від широкомасштабних атак до цілеспрямованих операцій
Спочатку APT24 покладалася на широкі стратегічні веб-зломи для зараження легітимних веб-сайтів. З часом група переключила увагу на більш точне таргетування, особливо на організації на Тайвані. Основні методи включають:
- Атаки на ланцюги поставок, такі як неодноразові компрометації регіональної фірми цифрового маркетингу для розповсюдження шкідливих скриптів.
- Фішингові кампанії, спрямовані на конкретних осіб або організації.
APT24, також відома як Pitty Tiger, традиційно зосереджувалася на таких секторах, як уряд, охорона здоров'я, будівництво та машинобудування, гірничодобувна промисловість, некомерційні організації та телекомунікації в США та Тайвані. Дані свідчать про те, що група веде активну діяльність щонайменше з 2008 року, використовуючи фішингові електронні листи, що містять шкідливі документи Microsoft Office, що використовують такі вразливості, як CVE-2012-0158 та CVE-2014-1761.
Арсенал шкідливого програмного забезпечення: від RAT до BADAUDIO
APT24 розгорнув широкий спектр сімейств шкідливих програм:
- КТ ЩУР
- M RAT (Goldsun-B), варіант Enfal/Lurid Downloader
- Паладин-Щур та Лев-Щур, варіанти Примарного Щура
- Бекдор Taidoor (Roudan)
Нещодавно виявлений BADAUDIO вирізняється своєю вишуканістю. Написаний на C++, він має високий рівень обфускації та використовує вирівнювання потоку керування, щоб запобігти зворотному проектуванню. Він діє як завантажувач першого етапу, здатний отримувати, розшифровувати та виконувати корисне навантаження, зашифроване AES, із жорстко закодованого сервера командування та управління (C2).
BADAUDIO зазвичай працює як шкідлива DLL-бібліотека, використовуючи перехоплення порядку пошуку DLL для виконання через легітимні програми. Останні варіанти постачаються як зашифровані архіви, що містять DLL-бібліотеки разом із файлами VBS, BAT та LNK.
Кампанія BADAUDIO: методи та виконання
Кампанія BADAUDIO, що триває з листопада 2022 року, спиралася на кілька початкових векторів доступу:
- водопої
- Компроміси в ланцюжку поставок
- Фішингові електронні листи
З 2022 до початку 2025 року APT24 скомпрометував понад 20 легітимних вебсайтів, впроваджуючи JavaScript, який:
- Виключено відвідувачів з macOS, iOS та Android.
- Згенерував унікальні відбитки пальців браузера за допомогою FingerprintJS.
- Відображалися спливаючі вікна, що закликали користувачів завантажити BADAUDIO, замасковані під оновлення Google Chrome.
У липні 2024 року група посилила свою діяльність, здійснивши атаку на ланцюг поставок через регіональну фірму цифрового маркетингу на Тайвані, впровадивши шкідливий JavaScript у широко поширену бібліотеку. Це вплинуло на понад 1000 доменів.
В атаці використовувався CDN-домен з помилковою друкарською помилкою для отримання скриптів, керованих зловмисником, машин для зчитування відбитків пальців та показу фальшивих спливаючих вікон. Механізм умовного завантаження скриптів, запроваджений у червні 2025 року, дозволив цільове налаштування окремих доменів, хоча короткий перерву в серпні дозволив скомпрометувати всі 1000 доменів, перш ніж обмеження було відновлено.
Розширений фішинг та соціальна інженерія
З серпня 2024 року APT24 проводить цілеспрямовані фішингові кампанії, використовуючи такі приманки, як організації з порятунку тварин. Жертви отримують зашифровані архіви, що містять BADAUDIO, через Google Диск або Microsoft OneDrive з пікселями відстеження для моніторингу взаємодії та оптимізації атак.
Поєднання маніпуляцій ланцюгом поставок, передової соціальної інженерії та зловживання хмарними сервісами демонструє здатність APT24 до постійного, адаптивного шпигунства.
Операції APT24 ілюструють зростаючу складність кіберзагроз, пов'язаних з державою, підкреслюючи необхідність для організацій запроваджувати ретельний моніторинг безпеки, перевіряти цілісність програмного забезпечення та навчати персонал складним фішинговим ризикам та ризикам ланцюга поставок.
