APT24的BADAUDIO:针对台湾的中国关联网络间谍活动深度分析
执行摘要
APT24间谍活动自2022年11月以来一直活跃,利用一个先前未记录的高度混淆恶意软件变种BADAUDIO,该软件作为第一阶段下载器,旨在在受害者网络中建立持久远程访问并进行侦察。
BADAUDIO是一个复杂的C++恶意软件,采用高级规避技术来逃避检测和分析。该恶意软件使用重度控制流平坦化来复杂化逆向工程工作,并向安全研究人员隐藏其真实逻辑。执行后,恶意软件收集基本主机信息——包括主机名、用户名和系统架构——使用硬编码的AES密钥加密这些数据,并通过C2请求中的cookie参数外泄。作为响应,攻击者控制的服务器会传递一个AES加密的有效载荷,该载荷在内存中解密并执行,这种技术最大限度地减少了取证痕迹。
**历史背景 - 相关CVE:**虽然当前的BADAUDIO活动没有利用特定的CVE,但APT24在早期操作中历史上利用了Microsoft Office漏洞,包括CVE-2012-0158和CVE-2014-1761,这些漏洞通过包含恶意Office文档的网络钓鱼邮件被利用。这代表了该组织从传统漏洞利用向现代供应链和社会工程向量的演变。
攻击方法
BADAUDIO活动针对台湾和美国多个行业的组织,特别是医疗保健、建筑、采矿、非营利组织和电信。
**供应链妥协:**从2024年7月开始,APT24反复入侵一家台湾数字营销公司,将恶意代码注入第三方JavaScript和JSON库。这一单一妥协影响了依赖该公司脚本的1000多个域名。修改后的脚本包括混淆的JavaScript,用于对访问者进行指纹识别,并确定是否提供BADAUDIO下载弹窗。
**水坑攻击:**APT24入侵了20多个合法公共网站,注入提供BADAUDIO的恶意JavaScript有效载荷。这些网站针对中国具有战略利益的组织。注入的代码使用FingerprintJS对浏览器进行指纹识别,并呈现虚假的Google Chrome更新弹窗,诱使用户下载BADAUDIO。
**使用云服务的网络钓鱼:**从2024年8月开始,APT24发起了冒充动物救援组织的鱼叉式网络钓鱼活动,在Google Drive和Microsoft OneDrive上托管恶意有效载荷。电子邮件包括跟踪像素以确认收件人打开,从而实现定制的后续攻击。
已利用漏洞
| CVE ID | 影响 | 利用前提 | CVSS分数 |
|---|---|---|---|
| CVE-2012-0158 | 通过特制Office文档实现远程代码执行 | 用户打开恶意Microsoft Office附件 | 8.8 |
| CVE-2014-1761 | 通过畸形Office文件处理实现远程代码执行 | 用户打开特制的Microsoft Word文档 | 7.8 |
缓解与修复
鉴于BADAUDIO的活跃利用,立即缓解至关重要:
- 从用户和启动目录中删除BADAUDIO DLL及相关的VBS、BAT和LNK文件。
- 审计并替换受影响供应商的受损供应链脚本和库。
- 立即轮换所有开发者凭证、API密钥和云令牌,以防止进一步滥用。
- 使用基于网络的威胁情报阻止已知的APT24命令与控制域。
- 应用系统强化,启用DLL搜索顺序劫持缓解措施,并通过浏览器策略限制虚假更新弹窗的执行。
能力
- 第一阶段下载器,检索、解密和执行AES加密的有效载荷(包括Cobalt Strike)。
- 使用控制流平坦化的高度混淆C++恶意软件,以抵抗逆向工程。
- DLL搜索顺序劫持执行,通过合法应用程序实现隐秘持久性。
- 系统侦察和浏览器指纹识别,随后定向传递虚假Chrome更新安装程序。
视觉流程
对于APT24活动,视觉流程可以详细说明如下:
- 初始访问 -> 利用过时固件和n-day漏洞(例如,在网络和应用层)。
- 通过AiCloud和Web界面滥用进行隐秘有效载荷传递,包括SSH后门安装和证书欺骗。
- 执行与持久性,具有root访问权限,无需UI更改的命令注入,SSH持久性,以及有效期为100年的TLS证书替换。
- 命令与控制,通过被劫持的路由器进行代理路由,使用共享TLS证书,并与相关活动(如AyySSHush)重叠的受损IP。
- 影响包括间谍基础设施设置、隐蔽C2代理、数据外泄,以及针对台湾、东南亚和美国的区域定向操作。
妥协指标
BADAUDIO活动暴露了多个主机、网络和电子邮件指标,组织可以使用这些指标检测潜在妥协:
基于主机的IOC
- 通过DLL搜索顺序劫持传递的恶意C++ DLL。
- 包含DLL + VBS/BAT/LNK文件的加密ZIP/RAR存档。
- 第一阶段恶意软件联系C2以获取AES加密有效载荷(例如Cobalt Strike)。
- 可疑文件访问:%systemroot%\system32\sprxx.dll(与APT24关联的恶意软件家族相关)。
网络IOC
- 请求提供虚假Chrome更新弹窗的仿冒CDN域。
- 使用FingerprintJS执行浏览器指纹识别的JavaScript。
- 修改的第三方JS库进行意外出站调用。
- 通过水坑网站传递的虚假Google Chrome更新下载。
电子邮件/社会工程IOC
- 围绕动物救援组织主题的鱼叉式网络钓鱼邮件。
- 通过Google Drive/OneDrive加密存档传递的有效载荷。
- 包含跟踪像素以确认电子邮件打开的消息。
这些指标共同反映了APT24的多层方法——利用供应链妥协、战略Web访问和定向网络钓鱼——来传递BADAUDIO并保持持久访问。
战术和技术包括:
攻击者利用包管理的信任模型在开发者和CI流水线中执行任意代码。
- TA0001 - 初始访问:攻击者通过带有恶意附件的定向鱼叉式网络钓鱼和战略Web妥协(包括水坑攻击)获得初始进入。
- T1190 - 利用面向公众的应用程序:利用广泛使用的软件组件中的漏洞远程执行代码。
- TA0002 - 执行:通过DLL搜索顺序劫持和脚本解释器在执行成功后执行恶意有效载荷。
- T1059 - 命令和脚本解释器:使用VBS、BAT和LNK脚本自动化恶意软件安装、持久性和执行。
- TA0003 - 持久性:通过启动文件夹DLL侧载、基于脚本的执行自动化和滥用合法应用程序建立持久性。
- T1574.001 - DLL搜索顺序劫持:利用系统DLL加载顺序在合法进程的幌子下执行恶意DLL。
使用Saner补丁管理即时修复风险
Saner补丁管理是一个连续、自动化和集成的软件,可以即时修复在野外被利用的风险。该软件支持主要操作系统如Windows、Linux和macOS,以及550多个第三方应用程序。
它还允许您设置安全测试区域,以在主要生产环境中部署补丁之前测试补丁。Saner补丁管理还支持在补丁失败或系统故障时进行补丁回滚功能。
在此体验最快和最准确的补丁软件。