BadAudio-malware kom fram efter att forskare avslöjade en långvarig spionageoperation från den Kina-kopplade gruppen APT24. Aktören riktade in sig på Windows-system i flera olika sektorer och använde en kombination av vattenhålsattacker, nätfiske med riktade mejl och angrepp mot leverantörskedjor för att leverera sin skadliga kod. Kampanjen växte stadigt under tre år och visade hur avancerade aktörer numera kombinerar flera infekteringsvägar för att öka sina chanser till framgång.
Hur APT24 levererade malwaren
APT24 använde flera olika leveransmetoder. Gruppen komprometterade över tjugo offentliga webbplatser och injicerade skadlig JavaScript-kod som profilerade besökare och visade falska uppdateringsmeddelanden för utvalda mål. Webbplatserna såg legitima ut, vilket gjorde att offren ofta litade på uppmaningarna och installerade BadAudio-malware utan misstankar.
Aktören bröt sig även in hos en digital marknadsföringsleverantör som levererade JavaScript-bibliotek till över tusen domäner. Intrånget skapade en infekteringsväg via leverantörskedjan där skadliga skript spreds till många oskyldiga webbplatser. Dessa skript hjälpte BadAudio-malware att spridas tyst i nätverk med högt värde.
APT24 kombinerade metoderna med riktade nätfiskeattacker. Gruppen använde tematiska mejl som inkluderade spårningspixlar för att se om mottagaren öppnade meddelandet. Mejlen länkade till molnlagrade filer som låtsades vara dokument eller uppdateringar. När målet öppnade filen levererade den det första steget av BadAudio-malware.
Hur BadAudio-malware fungerar
BadAudio-malware använder laddartekniker som försvårar analys. Den utnyttjar DLL-sökordningskapning för att köra skadlig kod samtidigt som den ser legitim ut. Laddaren innehåller tung kodfördunkling som tvingar analytiker att kartlägga varje körningsväg manuellt.
Efter start samlar malwaren in grundläggande systeminformation och krypterar uppgifterna med en hårdkodad nyckel. Den kontaktar sedan en kommandoserver och laddar ner en ytterligare payload. Malwaren dekrypterar denna payload i minnet och laddar den via DLL-sideloading, vilket hjälper den att undvika många detektionsmotorer. Forskare såg även aktivitet från Cobalt Strike Beacon i minst en infekteringskedja.
Varför upptäckten förblev låg
BadAudio-malware höll en låg upptäcktsgrad genom hela kampanjen. Flera prover utlöste endast ett fåtal antivirusvarningar. Kombinationen av fördunkling, sideloading och varierade leveransmetoder gjorde att APT24 kunde behålla långvarig tillgång till de komprometterade systemen. Den låga synligheten fördröjde upptäckten och skapade goda möjligheter för omfattande underrättelseinhämtning.
Slutsats
BadAudio-malware visar hur avancerade aktörer numera kombinerar flera angreppsytor för att behålla uthållighet i ett mål. APT24 genomförde en flerårig kampanj som blandade angrepp via leverantörskedjor, riktat nätfiske och vattenhålsattacker. Organisationer behöver stärka övervakningen, granska tredjepartskod och bevaka ovanligt DLL-beteende. Exponeringen av BadAudio-malware visar hur snabbt spionageoperationer kan eskalera när det finns luckor i detekteringen.
0 svar till ”BadAudio-malware avslöjas i APT24:s spionkampanj”