- 22,257
- 46
- 8 Ноя 2022
Исключительный случай, когда системы защиты оказались абсолютно беспомощны.
Google сообщила о многолетней разведывательной операции, в рамках которой группировка APT24, связанная с Китаем, использовала ранее неизвестный вредоносный инструмент BadAudio. Кампания длилась три года и постепенно переходила к более скрытным техникам, затрагивая как отдельные устройства, так и элементы цепочки поставок. Хотя вредоносная программа использовалась давно, обнаружить её удалось лишь недавно — благодаря анализу, проведённому командой Google Threat Intelligence Group.
По данным специалистов, вредоносный код распространялся разными путями. С 2022 года участники APT24 задействовали фишинговые письма, поддельные обновления программ и скомпрометированные ресурсы. За три года были подменены более двадцати легитимных сайтов, куда злоумышленники внедряли поддельные скрипты. Эти фрагменты кода изучали параметры посетителей и при совпадении критериев загружали всплывающее окно, стилизованное под обновление Windows. Через него пользователям навязывали загрузку BadAudio.
Позднее кампания сместилась в сторону атак на поставщиков веб-компонентов. Летом 2024 года APT24 неоднократно проникала в инфраструктуру тайваньской маркетинговой компании, распространявшей JavaScript-библиотеки. Благодаря этому злоумышленники смогли внедрить вредоносный код в популярный компонент и зарегистрировать домен, маскирующийся под сетевой сервис доставки контента.
Эта комбинация позволила незаметно вмешаться в работу более тысячи сайтов. В конце 2024 года та же компания вновь подвергалась атакам — теперь злоумышленники заменяли JSON-файл, откуда затем загружались модифицированные скрипты. Они собирали данные о посетителях и передавали их на удалённый сервер, где принималось решение о дальнейших действиях.
Параллельно участники APT24 проводили целевые рассылки, маскируясь под зоозащитные организации. Для загрузки BadAudio применялись облачные хранилища, включая Google Drive и OneDrive, что должно было повысить доверие получателей. Письма содержали пиксели отслеживания, подтверждающие факт прочтения. Многие такие сообщения были автоматически заблокированы, однако часть всё же достигала целей.
Анализ Google показывает, что BadAudio создан с расчётом на максимально сложную разборку. Для сокрытия логики используются глубоко обфусцированные структуры, включая плоскую управляющую схему, где выполнение кода разбивается на набор разрозненных фрагментов под контролем внутреннего диспетчера состояний. Запуск обеспечивается через подмену порядка поиска библиотек, когда легитимное приложение непреднамеренно загружает вредоносный компонент.
После запуска BadAudio собирает сведения об устройстве, шифрует их встроенным ключом AES и отправляет на заранее прописанный сервер управления. Затем вредоносная программа загружает зашифрованный модуль, расшифровывает его и выполняет в памяти через технику подмены библиотек. В одном из эпизодов была зафиксирована загрузка компонента Cobalt Strike Beacon, однако эта активность наблюдалась не во всех случаях.
Несмотря на многолетнее применение, BadAudio почти не определяется средствами защиты. Из восьми образцов, переданных в VirusTotal, только два уверенно классифицировались как вредоносные. Остальные распознавались единицами решений, что подтверждает высокую скрытность инструмента. Команда Google подчёркивает, что эволюция методов APT24 говорит о готовности группы к длительным и адаптивным операциям, направленным на разведку и сбор данных.
Google сообщила о многолетней разведывательной операции, в рамках которой группировка APT24, связанная с Китаем, использовала ранее неизвестный вредоносный инструмент BadAudio. Кампания длилась три года и постепенно переходила к более скрытным техникам, затрагивая как отдельные устройства, так и элементы цепочки поставок. Хотя вредоносная программа использовалась давно, обнаружить её удалось лишь недавно — благодаря анализу, проведённому командой Google Threat Intelligence Group.
По данным специалистов, вредоносный код распространялся разными путями. С 2022 года участники APT24 задействовали фишинговые письма, поддельные обновления программ и скомпрометированные ресурсы. За три года были подменены более двадцати легитимных сайтов, куда злоумышленники внедряли поддельные скрипты. Эти фрагменты кода изучали параметры посетителей и при совпадении критериев загружали всплывающее окно, стилизованное под обновление Windows. Через него пользователям навязывали загрузку BadAudio.
Позднее кампания сместилась в сторону атак на поставщиков веб-компонентов. Летом 2024 года APT24 неоднократно проникала в инфраструктуру тайваньской маркетинговой компании, распространявшей JavaScript-библиотеки. Благодаря этому злоумышленники смогли внедрить вредоносный код в популярный компонент и зарегистрировать домен, маскирующийся под сетевой сервис доставки контента.
Эта комбинация позволила незаметно вмешаться в работу более тысячи сайтов. В конце 2024 года та же компания вновь подвергалась атакам — теперь злоумышленники заменяли JSON-файл, откуда затем загружались модифицированные скрипты. Они собирали данные о посетителях и передавали их на удалённый сервер, где принималось решение о дальнейших действиях.
Параллельно участники APT24 проводили целевые рассылки, маскируясь под зоозащитные организации. Для загрузки BadAudio применялись облачные хранилища, включая Google Drive и OneDrive, что должно было повысить доверие получателей. Письма содержали пиксели отслеживания, подтверждающие факт прочтения. Многие такие сообщения были автоматически заблокированы, однако часть всё же достигала целей.
Анализ Google показывает, что BadAudio создан с расчётом на максимально сложную разборку. Для сокрытия логики используются глубоко обфусцированные структуры, включая плоскую управляющую схему, где выполнение кода разбивается на набор разрозненных фрагментов под контролем внутреннего диспетчера состояний. Запуск обеспечивается через подмену порядка поиска библиотек, когда легитимное приложение непреднамеренно загружает вредоносный компонент.
После запуска BadAudio собирает сведения об устройстве, шифрует их встроенным ключом AES и отправляет на заранее прописанный сервер управления. Затем вредоносная программа загружает зашифрованный модуль, расшифровывает его и выполняет в памяти через технику подмены библиотек. В одном из эпизодов была зафиксирована загрузка компонента Cobalt Strike Beacon, однако эта активность наблюдалась не во всех случаях.
Несмотря на многолетнее применение, BadAudio почти не определяется средствами защиты. Из восьми образцов, переданных в VirusTotal, только два уверенно классифицировались как вредоносные. Остальные распознавались единицами решений, что подтверждает высокую скрытность инструмента. Команда Google подчёркивает, что эволюция методов APT24 говорит о готовности группы к длительным и адаптивным операциям, направленным на разведку и сбор данных.
- Источник новости
- www.securitylab.ru
