افشای بدافزار BadAudio؛ ابزار جدید گروه APT24 در عملیات سایبری

هکرهای گروه APT24 وابسته به چین از یک بدافزار پیش‌تر مستندسازی‌نشده با نام BadAudio در یک کارزار جاسوسی سه‌ساله استفاده کرده‌اند؛ کارزاری که اخیراً به روش‌های حمله پیچیده‌تر تغییر یافته است.

از سال ۲۰۲۲، این بدافزار از طریق چندین روش به قربانیان تحویل داده شده است که شامل فیشینگ هدفمند، نفوذ به زنجیره تأمین و حملات watering hole  می‌شود.

تکامل عملیات

از نوامبر ۲۰۲۲ تا دست‌کم سپتامبر ۲۰۲۵، گروه APT24 بیش از ۲۰ وب‌سایت عمومی و مشروع را در حوزه‌های مختلف نفوذ کرده و کد جاوااسکریپت مخربی را تزریق کرده است که بازدیدکنندگان هدف را انتخاب می‌کرد—تمرکز این عملیات صرفاً بر سیستم‌های Windows بوده است.

محققان Google Threat Intelligence Group (GTIG) می‌گویند این اسکریپت، بازدیدکنندگانی را که به‌عنوان هدف شناسایی می‌شدند، اثرانگشت‌برداری کرده و یک پنجرهٔ جعلی به‌روزرسانی نرم‌افزار را بارگذاری می‌کرد تا آن‌ها را فریب دهد BadAudio را دانلود کنند.

از ژوئیه ۲۰۲۴، گروه APT24 چندین بار یک شرکت بازاریابی دیجیتال در تایوان را که کتابخانه‌های JavaScript را برای وب‌سایت‌های مشتریان ارائه می‌دهد، compromise کرده است.

از طریق این تاکتیک، مهاجمان کد JavaScript مخربی را در یک کتابخانهٔ پرکاربرد که توسط این شرکت توزیع می‌شد تزریق کردند و یک نام دامنه ثبت کردند که یک شبکهٔ توزیع محتوا (CDN) مشروع را جعل می‌کرد. این اقدام به مهاجم اجازه داد تا بیش از ۱۰۰۰ دامنه را compromise کند.

از اواخر ۲۰۲۴ تا ژوئیه ۲۰۲۵، APT24 بارها همان شرکت بازاریابی را با تزریق JavaScript مخرب و مبهم‌سازی‌شده در یک فایل JSON تغییر‌یافته compromise کرد؛ فایلی که توسط یک فایل JavaScript جداگانه از همان ارائه‌دهنده بارگذاری می‌شد.

پس از اجرا، این فایل از هر بازدیدکنندهٔ وب‌سایت fingerprint گرفته و یک گزارش base64-encoded به سرور مهاجمان ارسال می‌کرد، که به آن‌ها اجازه می‌داد تصمیم بگیرند آیا پاسخ مرحلهٔ بعدی را ارسال کنند یا خیر.

به‌صورت موازی، از اوت ۲۰۲۴، گروه APT24 عملیات فیشینگ هدفمند را آغاز کرد که بدافزار BadAudio را از طریق ایمیل‌هایی ارسال می‌کرد که در آن‌ها از سازمان‌های نجات حیوانات تقلید شده بود.

در برخی نسخه‌های این حملات، APT24 به‌جای استفاده از سرورهای خود، از سرویس‌های ابری مشروع مانند Google Drive و OneDrive برای توزیع بدافزار استفاده می‌کرد. با این حال، گوگل می‌گوید بسیاری از این تلاش‌ها شناسایی شدند و پیام‌ها در پوشهٔ اسپم قرار گرفتند.

با این وجود، در نمونه‌های مشاهده‌شده، ایمیل‌ها شامل tracking pixel بودند تا زمان باز شدن پیام توسط گیرندگان را تأیید کنند.

بارگذار بدافزار BadAudio

براساس تحلیل GTIG، بدافزار BadAudio به‌شدت مبهم‌سازی شده است تا از شناسایی فرار کند و تحلیل آن برای پژوهشگران امنیتی دشوار شود.

این بدافزار اجرای خود را از طریق DLL Search Order Hijacking به‌دست می‌آورد؛ تکنیکی که اجازه می‌دهد یک payload مخرب توسط یک برنامهٔ مشروع بارگذاری شود.

GTIG در گزارش امروز خود توضیح می‌دهد:
«این بدافزار با استفاده از Control Flow Flattening مهندسی شده است—یک تکنیک مبهم‌سازی پیشرفته که منطق ساختاری و طبیعی یک برنامه را به‌طور کامل از هم می‌پاشد.»

«این روش، کد خطی را با مجموعه‌ای از بلوک‌های جداگانه جایگزین می‌کند که توسط یک dispatcher مرکزی و یک متغیر وضعیت کنترل می‌شوند؛ امری که تحلیلگران را مجبور می‌کند هر مسیر اجرایی را به‌صورت دستی دنبال کنند و عملاً روند مهندسی معکوس—چه خودکار و چه دستی—را به‌شدت دشوار می‌سازد.»

پس از اجرای BadAudio روی دستگاه هدف، این بدافزار اطلاعات پایهٔ سیستم را جمع‌آوری می‌کند (hostname، username، معماری)، داده‌ها را با یک کلید AES hard-coded رمزگذاری می‌کند و آن را به یک آدرس فرماندهی و کنترل (C2) hard-coded ارسال می‌کند.

در مرحله بعد، یک payload رمزگذاری‌شده با AES را از سرور C2 دانلود کرده، آن را رمزگشایی می‌کند و برای فرار از شناسایی، آن را از طریق DLL Sideloading در حافظه اجرا می‌کند.

در دست‌کم یک مورد، پژوهشگران گوگل مشاهده کردند که BadAudio برای استقرار Cobalt Strike Beacon مورد استفاده قرار گرفته است—چارچوبی که به‌طور گسترده در حملات سایبری سوءاستفاده می‌شود.

پژوهشگران تأکید می‌کنند که نتوانسته‌اند وجود Cobalt Strike Beacon را در تمام نمونه‌های بررسی‌شده تأیید کنند.

لازم به ذکر است که با وجود استفاده APT24 از BadAudio طی سه سال، تاکتیک‌های این گروه موفق شده‌اند این بدافزار را تا حد زیادی از دید پنهان نگه دارند.

از میان هشت نمونه‌ای که محققان GTIG در گزارش خود ارائه کرده‌اند، تنها دو نمونه توسط بیش از ۲۵ موتور آنتی‌ویروس در پلتفرم VirusTotal به‌عنوان مخرب شناسایی شده‌اند. سایر نمونه‌ها، که تاریخ ایجاد آن‌ها ۷ دسامبر ۲۰۲۲ است، تنها توسط پنج راهکار امنیتی یا کمتر شناسایی می‌شوند.

GTIG می‌گوید که تکامل APT24 به سمت حملات مخفیانه‌تر ناشی از توان عملیاتی این گروه تهدید و «ظرفیت آن برای جاسوسی مستمر و تطبیقی» است.