Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại BADAUDIO

Phần mềm độc hại BADAUDIO

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Cảnh giác an ninh mạng vẫn là điều cần thiết khi các tác nhân đe dọa liên tục tinh chỉnh chiến thuật và chiến lược. Một nhóm tin tặc có liên hệ với Trung Quốc, được gọi là APT24, đã triển khai một phần mềm độc hại chưa từng được ghi nhận trước đây có tên là BADAUDIO để duy trì quyền truy cập lâu dài vào các mạng mục tiêu. Hoạt động này là một phần của chiến dịch kéo dài gần ba năm, làm nổi bật các phương pháp tinh vi và thích ứng được sử dụng bởi các mối đe dọa dai dẳng tiên tiến (APT).

Từ các cuộc tấn công rộng rãi đến các hoạt động có mục tiêu

Ban đầu, APT24 dựa vào các lỗ hổng web chiến lược rộng lớn để lây nhiễm các trang web hợp pháp. Theo thời gian, nhóm này đã chuyển hướng sang nhắm mục tiêu chính xác hơn, đặc biệt là các tổ chức ở Đài Loan. Các phương pháp chính bao gồm:

  • Các cuộc tấn công vào chuỗi cung ứng, chẳng hạn như nhiều lần xâm phạm một công ty tiếp thị kỹ thuật số khu vực để phát tán các tập lệnh độc hại.
  • Các chiến dịch lừa đảo nhắm vào các cá nhân hoặc tổ chức cụ thể.

APT24, còn được gọi là Pitty Tiger, trước đây tập trung vào các lĩnh vực bao gồm chính phủ, y tế, xây dựng và kỹ thuật, khai thác mỏ, phi lợi nhuận và viễn thông tại Hoa Kỳ và Đài Loan. Bằng chứng cho thấy nhóm này đã hoạt động ít nhất từ năm 2008, lợi dụng các email lừa đảo chứa tài liệu Microsoft Office độc hại khai thác các lỗ hổng như CVE-2012-0158 và CVE-2014-1761.

Kho vũ khí phần mềm độc hại: Từ RAT đến BADAUDIO

APT24 đã triển khai một loạt các nhóm phần mềm độc hại:

  • Chuột CT
  • M RAT (Goldsun-B), một biến thể của Enfal/Lurid Downloader
  • Paladin RAT và Leo RAT, các biến thể của Gh0st RAT
  • Cửa sau Taidoor (Roudan)

BADAUDIO mới được phát hiện nổi bật nhờ sự tinh vi của nó. Được viết bằng C++, nó được tối ưu hóa cao và sử dụng kỹ thuật làm phẳng luồng điều khiển để chống lại kỹ thuật đảo ngược. Nó hoạt động như một trình tải xuống giai đoạn đầu, có khả năng truy xuất, giải mã và thực thi một payload được mã hóa AES từ một máy chủ C2 (Command-and-Control) được mã hóa cứng.

BADAUDIO thường hoạt động như một DLL độc hại, lợi dụng kỹ thuật chiếm quyền điều khiển DLL Search Order để thực thi thông qua các ứng dụng hợp pháp. Các biến thể gần đây được phân phối dưới dạng tệp nén được mã hóa chứa DLL cùng với các tệp VBS, BAT và LNK.

Chiến dịch BADAUDIO: Kỹ thuật và Thực hiện

Chiến dịch BADAUDIO, diễn ra từ tháng 11 năm 2022, đã dựa vào nhiều vectơ truy cập ban đầu:

  • Các lỗ tưới nước
  • Sự thỏa hiệp trong chuỗi cung ứng
  • Email lừa đảo

Từ năm 2022 đến đầu năm 2025, APT24 đã xâm phạm hơn 20 trang web hợp pháp, chèn JavaScript:

  • Không bao gồm khách truy cập từ macOS, iOS và Android.
  • Tạo dấu vân tay trình duyệt duy nhất bằng FingerprintJS.
  • Hiển thị cửa sổ bật lên yêu cầu người dùng tải xuống BADAUDIO được ngụy trang dưới dạng bản cập nhật Google Chrome.

Vào tháng 7 năm 2024, nhóm này đã leo thang thành một cuộc tấn công chuỗi cung ứng thông qua một công ty tiếp thị kỹ thuật số khu vực tại Đài Loan, chèn mã JavaScript độc hại vào một thư viện được phân phối rộng rãi. Vụ việc đã ảnh hưởng đến hơn 1.000 tên miền.

Cuộc tấn công đã sử dụng một tên miền CDN bị chiếm dụng để lấy các tập lệnh do kẻ tấn công kiểm soát, máy quét vân tay và hiển thị các cửa sổ bật lên giả mạo. Cơ chế tải tập lệnh có điều kiện được giới thiệu vào tháng 6 năm 2025 cho phép nhắm mục tiêu theo từng tên miền riêng lẻ, mặc dù một sự cố ngắn vào tháng 8 đã khiến tất cả 1.000 tên miền bị xâm phạm trước khi lệnh hạn chế được khôi phục.

Lừa đảo và Kỹ thuật xã hội nâng cao

Kể từ tháng 8 năm 2024, APT24 đã tiến hành các chiến dịch lừa đảo có mục tiêu cao, sử dụng các chiêu trò như các tổ chức cứu hộ động vật. Nạn nhân sẽ nhận được các tệp lưu trữ được mã hóa chứa BADAUDIO qua Google Drive hoặc Microsoft OneDrive, với các pixel theo dõi để theo dõi mức độ tương tác và tối ưu hóa các cuộc tấn công.
Sự kết hợp giữa thao túng chuỗi cung ứng, kỹ thuật xã hội tiên tiến và lạm dụng dịch vụ đám mây cho thấy khả năng do thám liên tục và thích ứng của APT24.

Các hoạt động của APT24 cho thấy sự phức tạp ngày càng tăng của các mối đe dọa mạng liên quan đến nhà nước, nhấn mạnh nhu cầu các tổ chức phải thực hiện giám sát bảo mật nghiêm ngặt, xác minh tính toàn vẹn của phần mềm và đào tạo nhân viên về các rủi ro tinh vi về lừa đảo và chuỗi cung ứng.

xu hướng

Lừa đảo tin nhắn đến bị tạm dừng

Lừa đảo, Thư rác
Tội phạm mạng tiếp tục tinh vi hóa các chiêu trò lừa đảo qua email, và trò lừa đảo "Tin nhắn đến bị tạm dừng" là một ví dụ nữa cho thấy thư rác được tạo ra một cách thuyết phục có thể dụ dỗ những người nhận nhẹ dạ cả tin như thế nào. Những cảnh báo lừa đảo này giả mạo rằng tin nhắn đang bị giữ lại khỏi hộp thư đến của bạn và cố gắng dẫn bạn đến một trang lừa đảo. Điều quan trọng là phải nhận ra...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,862
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...