APT24として追跡されている中国の脅威アクターが、3年間にわたるサイバースパイ活動の一環として、複数の手法を用いてマルウェアを展開していることがGoogleの報告で明らかになりました。
G0011、Pitty Panda、Pitty Tigerとも呼ばれるAPT24は、少なくとも2008年から活動しており、主にスピアフィッシングやソーシャルエンジニアリングに依存して目的を達成しています。
Google Threat Intelligence Group(GTIG)が追跡している長期的なキャンペーンの一環として、APTは戦略的なウェブ侵害や、台湾の組織を標的としたサプライチェーン攻撃における地域デジタルマーケティング企業の繰り返しの侵害など、手法を進化させてきました。
これらの攻撃において、APT24はBadAudioと呼ばれるカスタムC++製のファーストステージダウンローダーを使用しており、ハードコードされたコマンド&コントロール(C&C)サーバーからAES暗号化されたペイロードを取得・復号・実行するよう設計されています。
「このマルウェアは基本的なシステム情報を収集し、ハードコードされたAESキーで暗号化し、GETリクエストのクッキー値としてペイロードを取得するために送信します。ペイロードは同じキーで復号され、メモリ上で実行されます」とGTIGは説明しています。
BadAudioはDLLとして展開され、実行のためにサーチオーダーハイジャックを利用します。最近のバージョンは、マルウェアの配置を自動化し、永続化を実現し、DLLのサイドローディングをトリガーするために設計されたVBS、BAT、LNKファイルも含むアーカイブ内にドロップされています。
ある攻撃では、ハッカーはBadAudioを使って、別のAPT24キャンペーンでも確認された比較的ユニークなウォーターマークを含むCobalt Strikeビーコンを展開しました。しかし、すべての事例でCobalt Strikeが展開されたかどうかは不明です。
2022年11月以降、APTは少なくとも20のウェブサイトを侵害し、Windowsシステムを偵察および被害者の検証のために標的とする悪意あるJavaScriptペイロードを注入しました。その後、被害者にBadAudioのダウンロードと実行を促すポップアップダイアログが表示されます。
広告。スクロールして続きを読む。
2024年7月、ハッカーは台湾の地域デジタルマーケティング企業を侵害し、サプライチェーン攻撃の一環として1,000以上のドメインに影響を与えました。過去1年の間に、APTは同社を複数回再侵害しています。
当初、脅威アクターはマーケティング企業が提供するJavaScriptライブラリに悪意あるスクリプトを注入しました。2025年7月に確認された再侵害では、別の改ざんされたJavaScriptファイルによって読み込まれるJSONファイル内にスクリプトを配置しました。
2025年6月、APTは侵害されたサードパーティスクリプトを読み込むウェブサイトのIDに基づく条件付きスクリプトロードを採用し、単一ドメインへの標的型攻撃を示唆しました。しかし8月には条件が解除され、1,000のサイトが悪意あるスクリプトを読み込むようになりました。
同時に、グループは高度に標的化されたソーシャルエンジニアリング攻撃も実施しました。また、正規のクラウドストレージプラットフォームを悪用してマルウェアを配布し、ピクセルトラッキングリンクを使って被害者がメールを開封したか追跡している様子も確認されています。
「この約3年にわたるキャンペーンは、APT24の作戦能力が継続的に進化している明確な例であり、[中国]系脅威アクターの高度な手口を浮き彫りにしています。サプライチェーン侵害、多層的なソーシャルエンジニアリング、正規クラウドサービスの悪用といった高度な技術の使用は、このアクターが持続的かつ適応的なスパイ活動を行う能力を示しています」とGTIGは指摘しています。
翻訳元: https://www.securityweek.com/chinese-cyberspies-deploy-badaudio-malware-via-supply-chain-attacks/
