BADAUDIO惡意軟體
網路安全警覺性仍然至關重要,因為威脅行為者不斷改進其戰術和策略。一個名為 APT24 的與中國有關聯的組織一直在部署一種名為 BADAUDIO 的先前未被記錄的惡意軟體,以維持對目標網路的長期存取權限。這項活動是持續近三年的攻擊行動的一部分,凸顯了高階持續性威脅 (APT) 所使用的複雜且適應性強的攻擊手段。
目錄
從大規模攻擊到定向行動
最初,APT24 依靠廣泛的策略性網路攻擊來感染合法網站。隨著時間的推移,該組織逐漸將攻擊重點轉向更精準的目標,尤其是台灣地區的組織。其主要攻擊手段包括:
- 供應鏈攻擊,例如反覆入侵一家區域性數位行銷公司以散佈惡意腳本。
- 針對特定個人或組織的魚叉式網路釣魚攻擊。
APT24,又稱 Pitty Tiger,長期以來主要攻擊美國和台灣的政府、醫療保健、建築工程、採礦、非營利組織和電信等產業。有證據表明,該組織至少從 2008 年起就已活躍,利用包含惡意 Microsoft Office 文件的網路釣魚郵件,攻擊利用 CVE-2012-0158 和 CVE-2014-1761 等漏洞的駭客組織。
惡意軟體庫:從遠端存取木馬到 BADAUDIO
APT24 已部署了多種惡意軟體家族:
- CT RAT
- M RAT(Goldsun-B),Enfal/Lurid 下載器的變種
- Paladin RAT 和 Leo RAT 是 Gh0st RAT 的變種。
- Taidoor(Roudan)後門
新發現的 BADAUDIO 因其複雜性而引人注目。它使用 C++ 編寫,經過高度混淆,並採用控制流扁平化技術來抵禦逆向工程。它充當第一階段下載器,能夠從硬編碼的命令與控制 (C2) 伺服器檢索、解密並執行 AES 加密的有效載荷。
BADAUDIO 通常以惡意 DLL 的形式運行,利用 DLL 搜尋順序劫持技術,透過合法應用程式執行。最近的變種以加密壓縮包的形式分發,其中包含 DLL 檔案以及 VBS、BAT 和 LNK 檔案。
BADAUDIO行銷活動:技巧與執行
BADAUDIO 活動自 2022 年 11 月開始,一直依賴多種初始訪問途徑:
- 水坑
- 供應鏈妥協
- 網路釣魚郵件
從 2022 年到 2025 年初,APT24 入侵了 20 多個合法網站,注入了以下 JavaScript 程式碼:
- 已排除來自 macOS、iOS 和 Android 的用戶。
- 使用 FingerprintJS 產生獨特的瀏覽器指紋。
- 彈出視窗誘導用戶下載偽裝成 Google Chrome 更新的 BADAUDIO。
2024年7月,該組織透過台灣一家區域性數位行銷公司發動供應鏈攻擊,將惡意JavaScript程式碼注入一個廣泛傳播的庫中,從而升級了攻擊行動。這次攻擊影響了超過1000個域名。
這次攻擊利用了一個拼字錯誤的 CDN 網域來取得攻擊者控制的腳本、識別機器並投放假彈跳窗。 2025 年 6 月引入的條件腳本載入機制能夠針對特定網域進行定向攻擊,但 8 月的一次短暫失效導致所有 1000 個網域在限制恢復前均遭到入侵。
高級網路釣魚和社會工程
自 2024 年 8 月以來,APT24 開展了一系列針對性極強的網路釣魚活動,利用動物救援組織等誘餌。受害者會透過 Google Drive 或 Microsoft OneDrive 收到包含 BADAUDIO 的加密文件,這些文件帶有追蹤像素,用於監控使用者互動並優化攻擊。
供應鏈操縱、高級社會工程和雲端服務濫用相結合,證明了 APT24 具備持續、適應性強的間諜能力。
APT24 的行動表明,與國家相關的網路威脅日益複雜,凸顯了各組織實施嚴格的安全監控、驗證軟體完整性以及對員工進行有關複雜網路釣魚和供應鏈風險的教育的必要性。
