BADAUDIO恶意软件
网络安全警惕性仍然至关重要,因为威胁行为者不断改进其战术和策略。一个名为 APT24 的与中国有关联的组织一直在部署一种名为 BADAUDIO 的此前未被记录的恶意软件,以维持对目标网络的长期访问权限。这项活动是持续近三年的攻击行动的一部分,凸显了高级持续性威胁 (APT) 所使用的复杂且适应性强的攻击手段。
目录
从大规模攻击到定向行动
最初,APT24 依靠广泛的战略性网络攻击来感染合法网站。随着时间的推移,该组织逐渐将攻击重点转向更精准的目标,尤其是台湾地区的组织。其主要攻击手段包括:
- 供应链攻击,例如反复入侵一家区域性数字营销公司以散布恶意脚本。
- 针对特定个人或组织的鱼叉式网络钓鱼攻击。
APT24,又名 Pitty Tiger,长期以来主要攻击美国和台湾的政府、医疗保健、建筑工程、采矿、非营利组织和电信等行业。有证据表明,该组织至少从 2008 年起就已活跃,利用包含恶意 Microsoft Office 文档的网络钓鱼邮件,攻击利用 CVE-2012-0158 和 CVE-2014-1761 等漏洞的黑客组织。
恶意软件库:从远程访问木马到 BADAUDIO
APT24 已部署了多种恶意软件家族:
- CT RAT
- M RAT(Goldsun-B),Enfal/Lurid 下载器的变种
- Paladin RAT 和 Leo RAT 是 Gh0st RAT 的变种。
- Taidoor(Roudan)后门
新发现的 BADAUDIO 因其复杂性而引人注目。它使用 C++ 编写,经过高度混淆,并采用控制流扁平化技术来抵御逆向工程。它充当第一阶段下载器,能够从硬编码的命令与控制 (C2) 服务器检索、解密并执行 AES 加密的有效载荷。
BADAUDIO 通常以恶意 DLL 的形式运行,利用 DLL 搜索顺序劫持技术,通过合法应用程序执行。最近的变种以加密压缩包的形式分发,其中包含 DLL 文件以及 VBS、BAT 和 LNK 文件。
BADAUDIO营销活动:技巧与执行
BADAUDIO 活动自 2022 年 11 月开始,一直依赖于多种初始访问途径:
- 水坑
- 供应链妥协
- 网络钓鱼邮件
从 2022 年到 2025 年初,APT24 入侵了 20 多个合法网站,注入了以下 JavaScript 代码:
- 已排除来自 macOS、iOS 和 Android 的用户。
- 使用 FingerprintJS 生成独特的浏览器指纹。
- 弹出窗口诱导用户下载伪装成 Google Chrome 更新的 BADAUDIO。
2024年7月,该组织通过台湾一家区域性数字营销公司发起供应链攻击,将恶意JavaScript代码注入一个广泛传播的库中,从而升级了攻击行动。此次攻击影响了超过1000个域名。
此次攻击利用了一个拼写错误的 CDN 域名来获取攻击者控制的脚本、识别机器并投放虚假弹窗。2025 年 6 月引入的条件脚本加载机制能够针对特定域名进行定向攻击,但 8 月份的一次短暂失效导致所有 1000 个域名在限制恢复前均遭到入侵。
高级网络钓鱼和社会工程
自 2024 年 8 月以来,APT24 开展了一系列针对性极强的网络钓鱼活动,利用动物救援组织等诱饵。受害者会通过 Google Drive 或 Microsoft OneDrive 收到包含 BADAUDIO 的加密文件,这些文件带有追踪像素,用于监控用户互动并优化攻击。
供应链操纵、高级社会工程和云服务滥用相结合,证明了 APT24 具备持续、适应性强的间谍能力。
APT24 的行动表明,与国家相关的网络威胁日益复杂,凸显了各组织实施严格的安全监控、验证软件完整性以及对员工进行有关复杂网络钓鱼和供应链风险的教育的必要性。
