24/11/25
По их данным, в течение 3 лет эта команда последовательно распространяет вредоносный загрузчик BADAUDIO, который применяется для закрепления в сетях жертв и дальнейшего развертывания инструментов удалённого управления.
За время наблюдений методы группы распространения заметно усложнились, пишет Securitylab. На ранних этапах злоумышленники опирались на массовый взлом легитимных сайтов, превращая их в площадки для установки вредоносного JavaScript. Позже схема расширилась: возникли поставочные атаки через тайваньскую маркетинговую компанию, а также серия фишинговых писем, направленных на конкретных сотрудников разных организаций.
BADAUDIO представляет собой загрузчик на C++, работающий в роли первой стадии. Он устанавливает сетевое соединение с сервером управления, собирает данные о системе и, используя встроенный ключ AES, шифрует эти сведения. После отправки зашифрованного блока в cookie-параметре загрузчик получает полезную нагрузку, расшифровывает её тем же ключом и выполняет в оперативной памяти. В одном из эпизодов такой нагрузкой оказался Cobalt Strike Beacon, однако специалисты подчёркивают, что его использование не является универсальным.
Вредонос также может использовать иной формат идентификатора, который вставляется в параметры запроса, чтобы операторы могли отслеживать конкретные заражённые узлы.
Код загрузчика заметно затрудняет анализ благодаря технике выпрямления управления. Эта схема разрушает обычную структуру программы и заменяет её набором разрозненных блоков, выполнение которых определяется центральным управляющим фрагментом. Из-за этого автоматический анализ и реверс-инжиниринг требуют значительно больше времени.
BADAUDIO чаще всего загружается как DLL через подмену порядка поиска библиотек по механизму DLL Search Order Hijacking (MITRE ATT&CK T1574.001). В свежих образцах вредоносная библиотека упакована в зашифрованный архив вместе с BAT, VBS и LNK-файлами, которые автоматизируют копирование легитимного EXE и DLL в пользовательские каталоги, создают запись автозапуска и запускают нелегитимную библиотеку через сайдлоадинг. Такой подход уменьшает количество очевидных признаков компрометации.
Google подтвердила, что в одном из случаев полезная нагрузка представляла собой Cobalt Strike Beacon. В конфигурации маяка нашли watermark, ранее встречавшийся в другой кампании APT24. Это значение формируется на основе файла CobaltStrike.auth и позволяет связывать разные инциденты с одной сборкой инструмента.
Кампания развивается уже несколько лет и включает комбинацию методов: взлом сайтов, поставочные атаки и целевые фишинговые письма. Каждая из веток использует собственную систему фильтрации жертв и проверки окружения.
Первое массовое использование BADAUDIO через взломанные сайты Google зафиксировала в ноябре 2022 года. Было обнаружено свыше 20 ресурсов разной тематики. Во все сайты внедряли модифицированный JavaScript, который включал этап фильтрации по операционной системе и браузеру. В результате цепочка активировалась только для Windows.
Кроме атак через сайты APT24 проводила фишинговые кампании, используя письма от имени благотворительной организации. В других эпизодах злоумышленники распространяли зашифрованные архивы через Google Drive и OneDrive. Почтовая фильтрация Google автоматически отправляла такие письма в раздел «Спам» и тем самым снижала результативность рассылок. Для отслеживания реакции людей злоумышленники встраивали пиксель-трекинг.
