Η υποστηριζόμενη από το κινεζικό κράτος ομάδα APT24 εκτελεί μια πολυετή επιχείρηση κατασκοπείας που βασίζεται σε ένα προηγουμένως άγνωστο είδος κακόβουλου λογισμικού γνωστό ως BadAudio, βελτιώνοντας σταθερά τον τρόπο με τον οποίο προσεγγίζει τα θύματα και μένει κρυφό. Ανάλυση από το Threat Intelligence Group της Google δείχνει Η καμπάνια είναι ενεργή τουλάχιστον από τα τέλη του 2022 και συνδυάζει το κλασικό ψαρέμα με υποβρύχιο με συμβιβασμούς και μια μεγάλη εισβολή στην εφοδιαστική αλυσίδα που άγγιξε χιλιάδες ιστότοπους, ενώ επικεντρώνει τις προσπάθειές της σε προσεκτικά επιλεγμένα συστήματα Windows.
Η παλαιότερη δραστηριότητα που συνδέθηκε με το BadAudio περιελάμβανε την παραβίαση περισσότερων από 20 νόμιμων δημόσιων τοποθεσιών από διαφορετικούς τομείς μεταξύ Νοεμβρίου 2022 και Σεπτεμβρίου 2025. Η APT24 ενέπνευσε προσαρμοσμένη JavaScript σε αυτούς τους ιστότοπους για τους επισκέπτες δακτυλικών αποτυπωμάτων και τον εντοπισμό συστημάτων που αξίζει να στοχεύσουν. Όταν ένας επισκέπτης πληρούσε τα κριτήρια, το σενάριο ενεργοποίησε ένα ψεύτικο μήνυμα ενημέρωσης λογισμικού που παρέδωσε το πρόγραμμα φόρτωσης BadAudio, ενώ άλλοι χρήστες δεν είδαν τίποτα ασυνήθιστο.
Από τον Ιούλιο του 2024, ο όμιλος στράφηκε σε μια τακτική υψηλότερης μόχλευσης παραβιάζοντας επανειλημμένα μια εταιρεία ψηφιακού μάρκετινγκ στην Ταϊβάν που προμηθεύει βιβλιοθήκες JavaScript σε ιστότοπους πελατών. Σε μια φάση, τροποποίησαν μια ευρέως χρησιμοποιούμενη βιβλιοθήκη και κατέγραψαν έναν όμοιο τομέα που παραπλανούσε ένα μεγάλο δίκτυο παράδοσης περιεχομένου, επιτρέποντάς τους να φτάσουν σε περισσότερους από 1.000 τομείς μέσω αξιόπιστων αλυσίδων εφοδιασμού. Αργότερα, από τα τέλη του 2024 έως τον Ιούλιο του 2025, επέστρεψαν στον ίδιο προμηθευτή και έκρυψαν ασαφή JavaScript μέσα σε ένα παραποιημένο αρχείο JSON που ανασύρθηκε από άλλο σενάριο από αυτόν τον πάροχο. Σε κάθε περίπτωση, ο κώδικας που εισήχθη προσδιόριζε το προφίλ των επισκεπτών και έστελνε τα κωδικοποιημένα δεδομένα του base64 πίσω στην υποδομή του εισβολέα, η οποία στη συνέχεια αποφάσισε αν θα απαντούσε με μια διεύθυνση URL επόμενου σταδίου.
Παράλληλα, ξεκινώντας περίπου τον Αύγουστο του 2024, το APT24 χρησιμοποίησε μηνύματα ηλεκτρονικού ψαρέματος (spearphishing) που υποδύονταν ομάδες διάσωσης ζώων για να ωθήσουν το BadAudio απευθείας σε στόχους. Ορισμένα από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συνδέονται με ωφέλιμα φορτία που φιλοξενούνται σε πλατφόρμες cloud, όπως το Google Drive και το OneDrive αντί για διακομιστές που ελέγχονται από τους εισβολείς. Πολλές προσπάθειες φιλτραρίστηκαν σε ανεπιθύμητα μηνύματα, αλλά τα μηνύματα συχνά περιλάμβαναν pixel παρακολούθησης, ώστε οι χειριστές να μπορούν να βλέπουν πότε ένας παραλήπτης άνοιξε ένα μήνυμα ηλεκτρονικού ταχυδρομείου και να βελτιώσουν τη στόχευσή τους.
Το ίδιο το BadAudio έχει δημιουργηθεί για να ματαιώνει την ανάλυση. Οι ερευνητές της Google περιγράφουν το πρόγραμμα φόρτωσης ως πολύ ασαφές και σχεδιασμένο για να επιτυγχάνει εκτέλεση μέσω παραβίασης εντολών αναζήτησης DLL, έτσι ώστε μια νόμιμη εφαρμογή να καταλήγει να φορτώνει το κακόβουλο στοιχείο. Ο κώδικάς του χρησιμοποιεί ισοπέδωση ροής ελέγχου, σπάζοντας την κανονική λογική του προγράμματος σε πολλά μικρά μπλοκ που συντονίζονται από έναν διεκπεραιωτή και μεταβλητή κατάστασης, γεγονός που περιπλέκει τόσο την αυτοματοποιημένη όσο και τη χειροκίνητη αντίστροφη μηχανική.
Μόλις εκτελεστεί, το BadAudio συλλέγει δεδομένα κεντρικού υπολογιστή, όπως όνομα μηχανής, όνομα χρήστη και αρχιτεκτονική, τα κρυπτογραφεί με ένα σκληρό κωδικοποιημένο κλειδί AES και τα στέλνει σε μια σταθερή διεύθυνση εντολών και ελέγχου. Εάν οι χειριστές επιλέξουν να προχωρήσουν, το κακόβουλο λογισμικό κατεβάζει ένα κρυπτογραφημένο ωφέλιμο φορτίο AES, το αποκρυπτογραφεί και το τρέχει στη μνήμη μέσω πλευρικής φόρτωσης DLL. Σε τουλάχιστον ένα περιστατικό, αυτό το στάδιο παρακολούθησης ήταν ένα Cobalt Strike Beacon, αν και η Google δεν μπόρεσε να επιβεβαιώσει ότι αυτό το εργαλείο χρησιμοποιήθηκε σε όλες τις εισβολές. Παρά τα τρία χρόνια χρήσης, το BadAudio έχει ως επί το πλείστον ξεφύγει από την ανίχνευση προστασίας από ιούς: από οκτώ δείγματα που κοινοποιήθηκαν από την Google, μόνο δύο επισημαίνονται από περισσότερα από 25 προϊόντα στο VirusTotal, ενώ τα υπόλοιπα, συμπεριλαμβανομένων των δυαδικών αρχείων που δημιουργήθηκαν τον Δεκέμβριο του 2022, εντοπίζονται από πέντε το πολύ κινητήρες. Για την Google, αυτός ο συνδυασμός προσέγγισης της αλυσίδας εφοδιασμού, επιλεκτικής στόχευσης και χαμηλής ορατότητας υπογραμμίζει την ικανότητα του APT24 να διατηρεί επίμονη, προσαρμοστική κατασκοπεία με ένα σχετικά μικρό κομμάτι καλά κρυμμένου κώδικα.
VIA: DataConomy.com
