BadAudio-skadevaren kom frem etter at forskere avdekket en langvarig spionasjekampanje fra den Kina-tilknyttede gruppen APT24. Aktøren rettet angrepene mot Windows-systemer i flere sektorer og brukte en kombinasjon av vannhullsangrep, målrettet phishing og kompromitterte leverandørkjeder for å levere skadevaren. Kampanjen vokste jevnt gjennom tre år og viste hvordan avanserte aktører nå kombinerer flere infeksjonsveier for å øke treffsikkerheten.
Hvordan APT24 leverte skadevaren
APT24 tok i bruk flere leveringsmetoder. Gruppen kompromitterte mer enn tjue offentlige nettsteder og injiserte skadelig JavaScript som profilerte besøkende og viste falske oppdateringsvarsler for utvalgte mål. Nettstedene fremstod som legitime, noe som gjorde at mange brukere stolte på varslene og installerte BadAudio-skadevaren uten mistanke.
Aktøren brøt seg også inn hos en digital markedsføringsleverandør som leverte JavaScript-biblioteker til over tusen domener. Dette ga en infeksjonsvei gjennom leverandørkjeden, der skadelige skript spredte seg til mange ikke-relaterte nettsteder. Disse skriptene gjorde det mulig for BadAudio-skadevaren å spre seg diskret i verdifulle nettverk.
APT24 kombinerte dette med målrettet phishing. Gruppen brukte tematiske e-poster med sporingspiksler for å se om mottakeren åpnet meldingen. E-postene lenket til filer i skyen som utga seg for å være dokumenter eller oppdateringer. Når målet åpnet filen, leverte den første fase av BadAudio-skadevaren.
Hvordan BadAudio-skadevaren fungerer
BadAudio-skadevaren bruker lasterteknikker som gjør analyse vanskelig. Den utnytter kapring av DLL-søkeordrer for å kjøre skadelig kode mens den fremstår som legitim. Lasteren bruker tung obfuskering som tvinger analytikere til å kartlegge hver kjøringssti manuelt.
Etter oppstart samler skadevaren inn grunnleggende systeminformasjon og krypterer dataene med en hardkodet nøkkel. Den kontakter deretter en kommando- og kontrollserver og laster ned en ekstra payload. Skadevaren dekrypterer denne i minnet og laster den inn via DLL-sideloading, noe som gjør at den unngår flere deteksjonsmotorer. Forskere observerte også aktivitet fra Cobalt Strike Beacon i minst én infeksjonskjede.
Hvorfor oppdagelsen forble lav
BadAudio-skadevaren holdt en svært lav oppdagelsesrate gjennom hele kampanjen. Flere prøver utløste kun et fåtall antivirusvarsler. Kombinasjonen av obfuskering, sideloading og varierte leveringsmetoder ga APT24 langvarig tilgang til kompromitterte systemer. Den lave synligheten forsinket oppdagelsen og skapte rom for omfattende etterretningsinnhenting.
Konklusjon
BadAudio-skadevaren viser hvordan avanserte trusselaktører kombinerer flere angrepsflater for å sikre vedvarende tilgang. APT24 gjennomførte en flerårig kampanje som blandet leverandørkjedeangrep, målrettet phishing og vannhullsangrep. Organisasjoner må styrke overvåkingen, kontrollere tredjepartskode og følge nøye med på uvanlig DLL-aktivitet. Avsløringen av BadAudio-skadevaren demonstrerer hvor raskt spionasjeoperasjoner kan eskalere når det finnes hull i deteksjonen.
0 svar til “BadAudio-skadevare avslørt i APT24s spionasjekampanje”