TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Google、APT24のスパイ活動で使用されたBadAudioマルウェアを公開

Image

中国と関連付けられているAPT24ハッカーは、BadAudioと呼ばれるこれまで文書化されていなかったマルウェアを、ここ3年間のスパイ活動で使用しており、最近になってより高度な攻撃手法へと切り替えている。

2022年以降、このマルウェアはスピアフィッシング、サプライチェーン侵害、ウォータリングホール攻撃など、複数の手法を通じて被害者に配布されている。

キャンペーンの進化

2022年11月から少なくとも2025年9月まで、APT24はさまざまなドメインの20以上の正規の公共サイトを侵害し、関心のある訪問者を選別する悪意あるJavaScriptコードを注入した――標的はWindowsシステムに限定されていた。

Google Threat Intelligence Group(GTIG)の研究者によると、このスクリプトは標的に該当する訪問者のフィンガープリントを採取し、BadAudioのダウンロードを誘う偽のソフトウェア更新ポップアップを表示していたという。

Image
APT24の偽アップデート・ポップアップ
出典: Google

2024年7月以降、APT24は、クライアントサイト向けにJavaScriptライブラリを提供する台湾のデジタルマーケティング企業を複数回侵害した。

この戦術を通じて、攻撃者は同社が配布していた広く利用されているライブラリに悪意あるJavaScriptを注入し、正規のコンテンツデリバリネットワーク(CDN)を装ったドメイン名を登録した。これにより、攻撃者は1,000以上のドメインを侵害できるようになった。

2024年末から2025年7月にかけて、APT24は同じマーケティング企業を繰り返し侵害し、同じベンダーの別のJavaScriptファイルによって読み込まれる、改変済みJSONファイル内に難読化された悪意あるJavaScriptを注入した。

実行されると、各ウェブサイト訪問者のフィンガープリントを採取し、base64でエンコードしたレポートを攻撃者のサーバーに送信する。これにより、攻撃者は次のステージのURLを返信するかどうかを判断できる。

Overview of the supply chain attack
サプライチェーン攻撃の概要
出典: Google

並行して、2024年8月からAPT24は、動物保護団体を装ったメールを誘い餌として用い、BadAudioマルウェアを配布するスピアフィッシング作戦を開始した。

これらの攻撃の一部の亜種では、APT24は自前のサーバーではなく、Google DriveやOneDriveといった正規のクラウドサービスをマルウェア配布に利用した。しかしGoogleによれば、多くの試みは検知され、メッセージはスパムボックス行きとなったという。

観測されたケースでは、メールには受信者が開封したタイミングを確認するためのトラッキングピクセルが含まれていた。

Timeline of APT24 attack methods
APT24の攻撃手法のタイムライン
出典: Google

BadAudioマルウェアローダー

GTIGの分析によると、BadAudioマルウェアは検知回避とセキュリティ研究者による解析妨害のために高度に難読化されている。

このマルウェアは、正規アプリケーションに悪意あるペイロードを読み込ませるDLLサーチオーダーハイジャック(DLL検索順序ハイジャック)という手法を通じて実行を達成する。

「このマルウェアは、制御フロー・フラッテンニングという高度な難読化技術で設計されており、プログラムの自然で構造化されたロジックを体系的に分解します」とGTIGは本日のレポートで説明している。

「この手法では、線形コードを中央の『ディスパッチャ』と状態変数によって制御される一連の分断されたブロックに置き換えるため、アナリストは各実行パスを手作業でトレースせざるを得ず、自動・手動のリバースエンジニアリングの両方を大幅に困難にします。」

BadAudioが標的デバイス上で実行されると、基本的なシステム情報(ホスト名、ユーザー名、アーキテクチャ)を収集し、ハードコードされたAESキーで暗号化して、ハードコードされたコマンド&コントロール(C2)アドレスに送信する。

次に、C2からAESで暗号化されたペイロードをダウンロードし、それを復号してDLLサイドローディングを用いてメモリ上で実行し、検知を回避する。

少なくとも1件のケースで、Googleの研究者は、BadAudio経由でCobalt Strike Beaconが展開されているのを観測している。これは広く悪用されているペネトレーションテスト用フレームワークだ。

研究者らは、分析したすべてのインスタンスでCobalt Strike Beaconの存在を確認できたわけではないと強調している。

なお、APT24は3年間にわたってBadAudioを使用していたにもかかわらず、その戦術によってマルウェアはほとんど検知されずに済んでいた点は注目に値する。

GTIGの研究者がレポートで提示した8つのサンプルのうち、VirusTotalスキャンプラットフォーム上で25以上のアンチウイルスエンジンに悪意ありと判定されているのは2つだけだ。残りのサンプルは、作成日が2022年12月7日であり、最大でも5つのセキュリティ製品にしか検知されていない。

GTIGは、APT24がよりステルス性の高い攻撃へと進化しているのは、脅威アクターの作戦能力と、「持続的かつ適応的なスパイ活動」を行う能力によって推進されていると述べている。

翻訳元: https://www.bleepingcomputer.com/news/security/google-exposes-badaudio-malware-used-in-apt24-espionage-campaigns/

ソース: bleepingcomputer.com
#APT24 #AWS・Google Cloud比較 #BadAudioマルウェア #Cobalt Strike #DLLサイドローディング #npmサプライチェーン攻撃 #ウォータリングホール攻撃 #サイバー諜報活動 #スピアフィッシング #中国系ハッカーグループ

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用