Nhóm gián điệp mạng APT24, liên kết với Cộng hòa Nhân dân Trung Hoa, đã thực hiện một chiến dịch kéo dài ba năm. Chiến dịch này sử dụng BadAudio, một downloader giai đoạn đầu được che giấu tinh vi. Mục tiêu của nó là thiết lập quyền truy cập mạng liên tục vào các tổ chức bị nhắm mục tiêu.

Tổng Quan về Chiến dịch và Diễn Biến Hoạt Động của APT24

APT24 đã thể hiện khả năng thích nghi đáng kể trong các chiến dịch tấn công mạng của mình. Nhóm này đã chuyển đổi từ các hình thức tấn công web chiến lược quy mô lớn sang các cuộc tấn công có mục tiêu chính xác.

Các thực thể có trụ sở tại Đài Loan là trọng tâm chính của những chiến dịch gần đây. Sự tiến hóa trong hoạt động của nhóm cho thấy xu hướng đáng báo động. Chúng kết hợp nhiều phương thức tấn công khác nhau, bao gồm cả tấn công chuỗi cung ứng.

Các mục tiêu trong chuỗi cung ứng bao gồm các công ty tiếp thị kỹ thuật số khu vực. Ngoài ra, các chiến dịch spear-phishing cũng được thiết kế để khai thác lòng tin của tổ chức.

Sự Xuất Hiện của BadAudio

Sự ra đời của BadAudio đánh dấu một sự leo thang đáng kể về năng lực kỹ thuật của APT24. Bắt đầu từ tháng 11 năm 2022, nhóm đã vũ khí hóa hơn hai mươi trang web hợp pháp. Các trang này bị tiêm tải trọng JavaScript độc hại. Chúng chuyển hướng những khách truy cập không nghi ngờ đến cơ sở hạ tầng do kẻ tấn công kiểm soát.

Phương pháp tấn công watering hole này cho thấy sự sẵn sàng của nhóm. Chúng mở rộng phạm vi tấn công nhưng vẫn nhắm mục tiêu chọn lọc. Việc lựa chọn nạn nhân được thực hiện thông qua các kỹ thuật lấy dấu vân tay nâng cao.

Phương pháp triển khai mã độc liên tục phát triển. Điều này phản ánh cam kết của tác nhân đe dọa. Chúng duy trì hiệu quả hoạt động chống lại các biện pháp phòng thủ ngày càng tinh vi.

Phân Tích Kỹ Thuật Mã Độc BadAudio

Các nhà phân tích bảo mật của Google Cloud đã xác định mã độc BadAudio. Việc này được thực hiện sau khi nhận ra các mẫu nhất quán với các chiến dịch APT24 trước đó. Theo thông tin từ Google Cloud, BadAudio là một trong những thành phần cốt lõi trong chuỗi tấn công của nhóm. Tham khảo tại blog của Google Cloud để biết thêm chi tiết.

Cơ Chế Hoạt Động của BadAudio

Mã độc BadAudio hoạt động như một downloader giai đoạn đầu tùy chỉnh. Nó được viết bằng C++. Chức năng chính là tải xuống, giải mã và thực thi các payload được mã hóa bằng AES. Các payload này được lấy từ các máy chủ chỉ huy và kiểm soát (C2) được mã hóa cứng.

Mã độc thu thập thông tin hệ thống cơ bản một cách âm thầm. Thông tin này bao gồm tên máy chủ (hostname), tên người dùng (username) và kiến trúc hệ thống. Sau đó, nó mã hóa dữ liệu này và nhúng vào các tham số cookie. Dữ liệu được gửi đến các điểm cuối do kẻ tấn công kiểm soát.

Kỹ thuật beaconing tinh vi này làm phức tạp các phương pháp phát hiện xâm nhập dựa trên mạng truyền thống. Nó cho phép duy trì sự bền bỉ kéo dài mà không kích hoạt các cảnh báo bảo mật.

Kỹ Thuật Che Giấu và Duy trì Quyền Truy Cập

Sự tinh vi về kỹ thuật của BadAudio thể hiện qua kỹ thuật làm phẳng luồng điều khiển (control flow flattening). Đây là một kỹ thuật che giấu nâng cao. Nó tháo dỡ một cách có hệ thống cấu trúc logic tự nhiên của chương trình.

Mã độc này chủ yếu biểu hiện dưới dạng thư viện liên kết động (DLL) độc hại. Nó lợi dụng kỹ thuật DLL Search Order Hijacking để giành quyền thực thi thông qua các ứng dụng hợp pháp. Các biến thể gần đây sử dụng các kho lưu trữ được mã hóa chứa các DLL BadAudio.

Kèm theo đó là các tệp VBS, BAT và LNK. Chúng tự động hóa các cơ chế đặt và duy trì quyền truy cập. Việc này được thực hiện thông qua các mục khởi động thực thi hợp pháp.

Tải Xuống Payload Thứ Cấp: Cobalt Strike Beacon

Sau khi thực thi, các payload tiếp theo được giải mã bằng các khóa AES được mã hóa cứng. Trong các trường hợp được xác định, chúng đã được xác nhận là Cobalt Strike Beacon. Điều này cung cấp khả năng truy cập từ xa đầy đủ vào các mạng bị xâm nhập.

Kỹ Thuật Phân Phối và Chỉ Số Báo Hiệu Xâm Nhập (IOCs)

Gần đây, APT24 đã chuyển sang các cơ chế phân phối có mục tiêu hơn. Thay vì các cuộc tấn công cơ hội rộng rãi, nhóm tập trung vào các chiến thuật tinh vi hơn.

Tấn Công Chuỗi Cung Ứng và Spear-Phishing Mục Tiêu

Các cuộc tấn công chuỗi cung ứng nhắm vào các công ty tiếp thị kỹ thuật số khu vực ở Đài Loan. Điều này cho phép nhóm tiến hành các cuộc tấn công phức tạp. Chúng ảnh hưởng đến nhiều tổ chức cùng một lúc.

Các chiến dịch lừa đảo (phishing) lợi dụng các chiến thuật kỹ thuật xã hội. Chúng bao gồm các email gây hiểu lầm, giả mạo từ các tổ chức cứu hộ động vật. Những email này dẫn đến việc tải xuống mã độc trực tiếp từ cơ sở hạ tầng do kẻ tấn công kiểm soát.

Lạm Dụng Nền Tảng Cloud Hợp Pháp

Nhóm đã khai thác các nền tảng lưu trữ đám mây hợp pháp. Bao gồm Google Drive và OneDrive. Chúng được sử dụng để phân phối các kho lưu trữ được mã hóa. Điều này cho thấy sự sẵn sàng của nhóm trong việc lạm dụng các dịch vụ đáng tin cậy cho mục đích độc hại.

Các Loại Chỉ Số Báo Hiệu Xâm Nhập (IOCs)

Dựa trên hoạt động của APT24 và BadAudio, các loại chỉ số báo hiệu xâm nhập có thể được quan sát bao gồm:

• Tên miền và Địa chỉ IP của máy chủ C2: Các địa chỉ được mã hóa cứng hoặc được truy vấn động để tải payload và gửi thông tin.
• URL độc hại: Các liên kết được sử dụng trong các cuộc tấn công watering hole hoặc spear-phishing.
• Tên tệp độc hại: Các tệp DLL, VBS, BAT, LNK được sử dụng để thực thi và duy trì quyền truy cập.
• Hash tệp: Hash của mã độc BadAudio DLL và các payload phụ trợ.
• Mẫu JavaScript độc hại: Các đoạn mã được tiêm vào các trang web bị xâm nhập.
• Thông tin trong cookie: Các tham số cookie chứa dữ liệu hệ thống được mã hóa gửi đến điểm cuối của kẻ tấn công.
• Đường dẫn tải xuống: URL của các kho lưu trữ độc hại được phân phối qua Google Drive hoặc OneDrive.