Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Google открива BadAudio малвер користен во шпионски кампањи на APT24

Објавено: 21.11.2025

Хакерите од APT24, поврзани со Кина, користеле претходно недокументиран малвер наречен BadAudio во тригодишна шпионска кампања која неодамна преминала на понапредни методи на напад.

Од 2022 година, малверот бил доставуван до жртвите преку повеќе методи, вклучувајќи spear phishing, компромитирање на синџирот на снабдување (supply-chain compromise) и watering hole напади.

Еволуција на кампањата

Од ноември 2022 па сè до најмалку септември 2025 година, APT24 компромитирал повеќе од 20 легитимни јавни веб-страници од различни домени со цел да вбризга злонамерен JavaScript код кој ги селектирал посетителите од интерес – фокусот бил исклучиво на Windows системи. Истражувачите од Google Threat Intelligence Group (GTIG) наведуваат дека скриптата ги „отпечатоци“ (fingerprinted) посетителите кои одговарале на профилот на цел и прикажувала лажен поп-ап за софтверско ажурирање за да ги намами да го преземат BadAudio.

Лажниот поп-ап за ажурирање на APT24

Почнувајќи од јули 2024 година, APT24 повеќепати компромитирал компанија за дигитален маркетинг во Тајван која обезбедува JavaScript библиотеки за веб-страници на клиенти.

Преку оваа тактика, напаѓачите вбризгале злонамерен JavaScript во широко користена библиотека што фирмата ја дистрибуирала и регистрирале домен кој се претставувал како легитимна мрежа за испорака на содржини (CDN). Ова им овозможило на напаѓачите да компромитираат повеќе од 1.000 домени.

Од крајот на 2024 до јули 2025 година, APT24 повторно и повеќепати ја компромитирал истата маркетинг фирма со вбризгување злонамерен, обфусциран JavaScript во модифицирана JSON датотека, која била вчитувана од посебна JavaScript датотека од истиот добавувач.

Откако ќе се извршел, кодот го „отпечатоцирал“ секој посетител на веб-страницата и испраќал извештај кодиран во base64 до серверот на напаѓачите, со што им овозможувал да одлучат дали ќе одговорат со URL за следната фаза од нападот.

Преглед на нападот врз синџирот на снабдување

Паралелно, почнувајќи од август 2024 година, APT24 започнал spear phishing операции преку кои го испорачувал малверот BadAudio, користејќи како мамка е-пораки што се претставувале како организации за спасување животни.

Во некои варијанти на овие напади, APT24 користел легитимни cloud сервиси како Google Drive и OneDrive за дистрибуција на малверот, наместо сопствени сервери. Сепак, Google наведува дека многу од обидите биле детектирани и пораките завршувале во спам-папката.

Во забележаните случаи, е-пораките содржеле и tracking пиксели за да се потврди кога примателите ги отвориле.

Временска линија на методите на напад на APT24

Loader на малверот BadAudio

Според анализата на GTIG, малверот BadAudio е силно обфусциран со цел да избегне детекција и да ја отежне анализата од страна на безбедносните истражувачи.

Тој се извршува преку DLL search order hijacking, техника што овозможува злонамерниот payload да биде вчитан од легитимна апликација.

„Малверот е изграден со control flow flattening – напредна техника за обфускација која систематски ја разградува природната, структурирана логика на програмата,“ објаснува GTIG во денешниот извештај.

„Овој метод го заменува линеарниот код со низа од неповрзани блокови управувани од централен ‘dispatcher’ и состојбена променлива, принудувајќи ги аналитичарите рачно да ја следат секоја патека на извршување и значително отежнувајќи ги и автоматизираните и рачните напори за реверзно инженерство.“

Откако BadAudio ќе се изврши на целниот уред, тој собира основни системски информации (име на хост, корисничко име, архитектура), ги шифрира со однапред вграден AES клуч и ги испраќа до однапред дефинирана command-and-control (C2) адреса.

Потоа презема AES-шифриран payload од C2 серверот, го дешифрира и го извршува директно во меморија за да избегне детекција, користејќи DLL sideloading.

Во најмалку еден случај, истражувачите од Google забележале распоредување на Cobalt Strike Beacon преку BadAudio, широко злоупотребувана платформа за тестирање на пенетрација.

Истражувачите посочуваат дека не можеле да потврдат присуство на Cobalt Strike Beacon во секој анализиран примерок.

Вреди да се напомене дека, и покрај тоа што APT24 го користел BadAudio три години, нивните тактики успеале да го задржат малверот во голема мера недетектиран.

Од осумте примероци што GTIG ги навел во својот извештај, само два се означени како злонамерни од повеќе од 25 антивирусни енџини на платформата VirusTotal. Останатите примероци, со датум на креирање 7 декември 2022 година, се детектирани од најмногу пет безбедносни решенија.

GTIG наведува дека еволуцијата на APT24 кон потивki и поскриени напади е резултат на оперативните способности на заканувачкиот актер и неговиот „капацитет за постојана и адаптивна шпионажа“.

Извори:

  • Bleeping Computer – Google exposes BadAudio malware used in APT24 espionage campaigns Bleeping Computer