Китайская хакерская группа APT24 расширяет арсенал атак с помощью многовекторного подхода

Основным инструментом проникновения в отчёте назван вредоносный загрузчик BADAUDIO, написанный на C++ и использующий сложные методы обфускации. Этот загрузчик действует как первая стадия атаки, обеспечивая устойчивое присутствие в сетях жертв. Интересно, что злоумышленники значительно усовершенствовали технику доставки вредоносного кода. В частности, они перешли от массового взлома легитимных сайтов к целенаправленному компрометированию цифрового маркетингового агентства на Тайване, что позволило им атаковать более тысячи доменов одновременно.

BADAUDIO демонстрирует высокий уровень технической изощрённости. Загрузчик использует техники уплощения потока управления, которые радикально усложняют анализ кода. Кроме того, он применяет AES-шифрование для коммуникации с командным сервером и скрытной передачи данных. При этом вредоносная программа собирает базовую информацию о системе, хэширует её и передаёт в заголовке Cookie HTTP-запроса, что существенно затрудняет обнаружение аномалий в сетевом трафике.

В рамках кампании злоумышленники применяли многоуровневый подход. Изначально они внедряли вредоносный JavaScript на скомпрометированные сайты, который использовал библиотеку FingerprintJS для создания цифрового отпечатка браузера. Затем, на основе этого отпечатка, жертвам показывались поддельные всплывающие окна, имитирующие обновление браузера Chrome. При этом атака была спроектирована таким образом, чтобы исключать пользователей macOS, iOS и Android, фокусируясь исключительно на Windows-системах.

Особого внимания заслуживает эскалация атаки через компрометацию цепочки поставок. В июле 2024 года APT24 взломала региональную маркетинговую компанию на Тайване, что позволило им распространять вредоносный код через легитимные JavaScript-библиотеки. Более того, злоумышленники неоднократно повторно компрометировали эту же компанию в течение года, демонстрируя высокую настойчивость. В ходе последующих атак они дополнительно усложнили механизм скрытности, размещая обфусцированный код в JSON-файлах, которые обычно не ассоциируются с выполнением кода.

Параллельно с веб-атаками группа проводила целевые фишинговые кампании. Например, они рассылали письма, маскируясь под организацию по спасению животных, и использовали легитимные облачные сервисы вроде Google Drive и OneDrive для распространения зашифрованных архивов с BADAUDIO. При этом злоумышленники применяли технологии отслеживания открытия писем для валидации интереса потенциальных жертв.

Google предпринял комплексные меры противодействия этой угрозе. Компания разработала специальные правила обнаружения модифицированного JavaScript, добавила идентифицированные вредоносные ресурсы в блокировочный список Safe Browsing и уведомила владельцев скомпрометированных сайтов о необходимости принятия защитных мер.

Эксперты отмечают, что почти трёхлетняя кампания APT24 наглядно демонстрирует эволюцию операционных возможностей китайских хакерских групп. Использование продвинутых техник, включая атаки на цепочки поставок, многоуровневый социальный инжиниринг и злоупотребление доверенными облачными сервисами, подчёркивает способность этих акторов к адаптивному и устойчивому шпионажу. Эта активность соответствует общей тенденции, наблюдаемой GTIG, когда китайские хакерские группы всё чаще применяют скрытные тактики для избежания обнаружения.

Публикация подробного технического анализа данной кампании позволяет специалистам по безопасности лучше понимать тактики и методы современных угроз, что в конечном счёте способствует усилению защиты пользователей по всему миру. Постоянный мониторинг подобных угроз и своевременное обновление защитных механизмов остаются критически важными для противодействия развивающимся киберугрозам.

Domains

• clients.brendns.workers.dev
• jarzoda.net
• jsdelivrs.com
• roller.johallow.workers.dev
• taiwantradoshows.com
• tradostw.com
• trcloudflare.com
• wispy.geneva.workers.dev
• www.availableextens.com
• www.brighyt.com
• www.cundis.com
• www.decathlonm.com
• www.gerikinage.com
• www.growhth.com
• www.p9-car.com
• www.twisinbeth.com

SHA256

• 032c333eab80d58d60228691971d79b2c4cd6b9013bae53374dd986faa0f3f4c
• 07226a716d4c8e012d6fabeffe2545b3abfc0b1b9d2fccfa500d3910e27ca65b
• 0e98baf6d3b67ca9c994eb5eb9bbd40584be68b0db9ca76f417fb3bcec9cf958
• 176407b1e885496e62e1e761bbbb1686e8c805410e7aec4ee03c95a0c4e9876f
• 1f31ddd2f598bd193b125a345a709eedc3b5661b0645fc08fa19e93d83ea5459
• 2ea075c6cd3c065e541976cdc2ec381a88b748966f960965fdbe72a5ec970d4e
• 55e02a81986aa313b663c3049d30ea0158641a451cb8190233c09bef335ef5c7
• 5c37130523c57a7d8583c1563f56a2e2f21eef5976380fdb3544be62c6ad2de5
• 83fb652af10df4574fa536700fa00ed567637b66f189d0bbdb911bd2634b4f0e
• 88fa2b5489d178e59d33428ba4088d114025acd1febfa8f7971f29130bda1213
• 9ce49c07c6de455d37ac86d0460a8ad2544dc15fb5c2907ed61569b69eefd182
• ae8473a027b0bcc65d1db225848904e54935736ab943edf3590b847cb571f980
• c4e910b443b183e6d5d4e865dd8f978fd635cd21c765d988e92a5fd60a4428f5
• c7565ed061e5e8b2f8aca67d93b994a74465e6b9b01936ecbf64c09ac6ee38b9
• cfade5d162a3d94e4cba1e7696636499756649b571f3285dd79dea1f5311adcd
• d23ca261291e4bad67859b5d4ee295a3e1ac995b398ccd4c06d2f96340b4b5f8
• f086c65954f911e70261c729be2cdfa2a86e39c939edee23983090198f06503c
• f1e9d57e0433e074c47ee09c5697f93fde7ff50df27317c657f399feac63373a