Η APT24, μια εξελιγμένη ομάδα κατασκοπείας στον κυβερνοχώρο που συνδέεται με τη Λαϊκή Δημοκρατία της Κίνας, ξεκίνησε μια αδυσώπητη τριετή εκστρατεία παρέχοντας το BadAudio, ένα εξαιρετικά ασαφές πρόγραμμα λήψης πρώτου σταδίου που επιτρέπει τη διαρκή πρόσβαση στο δίκτυο σε στοχευμένους οργανισμούς.
Ο παράγοντας της απειλής έχει επιδείξει αξιοσημείωτη προσαρμοστικότητα μεταβαίνοντας από ευρείες στρατηγικές συμβιβασμούς στον ιστό σε επιθέσεις με στόχευση ακριβείας που επικεντρώνονται σε οντότητες που εδρεύουν στην Ταϊβάν.
Η επιχειρησιακή εξέλιξη του ομίλου δείχνει μια ανησυχητική τάση συνδυασμού πολλαπλών φορέων επίθεσης, συμπεριλαμβανομένων των συμβιβασμών στην αλυσίδα εφοδιασμού που στοχεύουν περιφερειακές εταιρείες ψηφιακού μάρκετινγκ και εκστρατειών spear-phishing που έχουν σχεδιαστεί για την εκμετάλλευση της εμπιστοσύνης του οργανισμού.
Η εμφάνιση του BadAudio αντιπροσωπεύει μια σημαντική κλιμάκωση στις τεχνικές δυνατότητες του APT24. Ξεκινώντας τον Νοέμβριο του 2022, η ομάδα εξόπλισε πάνω από είκοσι νόμιμους ιστότοπους εισάγοντας κακόβουλα ωφέλιμα φορτία JavaScript που ανακατευθύνουν ανυποψίαστους επισκέπτες σε υποδομές ελεγχόμενες από τους εισβολείς.
.webp.jpeg)
Αυτή η προσέγγιση με τις τρύπες ποτίσματος καταδεικνύει την προθυμία της ομάδας να ρίξει ένα φαρδύ δίχτυ ενώ στοχεύει επιλεκτικά τα θύματα που αναγνωρίζονται μέσω προηγμένων τεχνικών δακτυλικών αποτυπωμάτων.
Η μεθοδολογία ανάπτυξης του κακόβουλου λογισμικού εξελίσσεται συνεχώς, αντικατοπτρίζοντας τη δέσμευση του παράγοντα απειλής για διατήρηση της επιχειρησιακής αποτελεσματικότητας έναντι ολοένα και πιο εξελιγμένων αμυντικών μέτρων.
Αναλυτές ασφαλείας Google Cloud αναγνωρισθείς το κακόβουλο λογισμικό BadAudio μετά την αναγνώριση μοτίβων που συνάδουν με προηγούμενες καμπάνιες APT24.
Οι ερευνητές σημείωσαν ότι το κακόβουλο λογισμικό λειτουργεί ως προσαρμοσμένο πρόγραμμα λήψης πρώτου σταδίου γραμμένο σε C++, σχεδιασμένο για λήψη, αποκρυπτογράφηση και εκτέλεση ωφέλιμων φορτίων κρυπτογραφημένων με AES από διακομιστές εντολών και ελέγχου με σκληρό κώδικα.
Το κακόβουλο λογισμικό συλλέγει αθόρυβα βασικές πληροφορίες συστήματος, συμπεριλαμβανομένου του ονόματος κεντρικού υπολογιστή, του ονόματος χρήστη και της αρχιτεκτονικής του συστήματος, στη συνέχεια κρυπτογραφεί αυτά τα δεδομένα και τα ενσωματώνει σε παραμέτρους cookie που αποστέλλονται σε τερματικά σημεία που ελέγχονται από τους εισβολείς.
.webp.png)
Αυτή η λεπτή τεχνική beaconing περιπλέκει τις παραδοσιακές προσεγγίσεις ανίχνευσης που βασίζονται σε δίκτυο, επιτρέποντας παρατεταμένη επιμονή χωρίς να ενεργοποιούνται ειδοποιήσεις ασφαλείας.
Τεχνική πολυπλοκότητα
Η τεχνική πολυπλοκότητα που είναι ενσωματωμένη στο BadAudio επιδεικνύει την ισοπέδωση της ροής ελέγχου, μια προηγμένη τεχνική συσκότισης που αποσυναρμολογεί συστηματικά τη φυσική λογική δομή ενός προγράμματος.
Το κακόβουλο λογισμικό εμφανίζεται κυρίως ως μια κακόβουλη Βιβλιοθήκη Dynamic Link που αξιοποιεί την παραβίαση εντολής αναζήτησης DLL για να κερδίσει την εκτέλεση μέσω νόμιμων εφαρμογών.
Οι πρόσφατες παραλλαγές χρησιμοποιούν κρυπτογραφημένα αρχεία που περιέχουν BadAudio DLL μαζί με αρχεία VBS, BAT και LNK που αυτοματοποιούν τους μηχανισμούς τοποθέτησης και επιμονής μέσω νόμιμων εκτελέσιμων εγγραφών εκκίνησης.
.webp.jpeg)
Κατά την εκτέλεση, τα επόμενα ωφέλιμα φορτία που αποκρυπτογραφήθηκαν χρησιμοποιώντας σκληρά κωδικοποιημένα κλειδιά AES έχουν επιβεβαιωθεί ως Cobalt Strike Beacon σε προσδιορισμένες περιπτώσεις, παρέχοντας πλήρεις δυνατότητες απομακρυσμένης πρόσβασης σε δίκτυα που έχουν παραβιαστεί.
Το APT24 πρόσφατα στράφηκε προς πιο στοχευμένους μηχανισμούς παράδοσης αντί για ευρείες ευκαιριακές επιθέσεις. Συμβιβασμούς στην αλυσίδα εφοδιασμού που στοχεύουν περιφερειακές εταιρείες ψηφιακού μάρκετινγκ στην Ταϊβάν επέτρεψαν στον όμιλο να διεξάγει εξελιγμένες επιθέσεις που επηρεάζουν πολλούς οργανισμούς ταυτόχρονα.
Οι καμπάνιες ηλεκτρονικού “ψαρέματος” που χρησιμοποιούν τακτικές κοινωνικής μηχανικής, συμπεριλαμβανομένων των παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι προέρχονται από οργανώσεις διάσωσης ζώων, οδηγούν σε απευθείας λήψεις κακόβουλου λογισμικού από υποδομές που ελέγχονται από τους εισβολείς.
Η ομάδα έχει εκμεταλλευτεί νόμιμες πλατφόρμες αποθήκευσης cloud, όπως το Google Drive και το OneDrive για τη διανομή κρυπτογραφημένων αρχείων, αποδεικνύοντας την προθυμία τους να κάνουν κατάχρηση αξιόπιστων υπηρεσιών για κακόβουλους σκοπούς.
