Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware BADAUDIO Malware

BADAUDIO Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Wachsamkeit im Bereich der Cybersicherheit bleibt unerlässlich, da Angreifer ihre Taktiken und Strategien ständig weiterentwickeln. Eine mit China verbundene Gruppe namens APT24 setzt eine bisher unbekannte Schadsoftware namens BADAUDIO ein, um sich langfristigen Zugriff auf anvisierte Netzwerke zu sichern. Diese Aktivität ist Teil einer fast dreijährigen Kampagne und verdeutlicht die ausgefeilten und anpassungsfähigen Methoden, die von Advanced Persistent Threats (APTs) eingesetzt werden.

Von groß angelegten Angriffen zu gezielten Operationen

Anfangs setzte APT24 auf groß angelegte strategische Webangriffe, um legitime Websites zu infizieren. Mit der Zeit verlagerte die Gruppe ihren Fokus auf gezieltere Angriffe, insbesondere auf Organisationen in Taiwan. Zu den wichtigsten Methoden gehören:

  • Lieferkettenangriffe, wie beispielsweise wiederholte Angriffe auf ein regionales digitales Marketingunternehmen, um bösartige Skripte zu verbreiten.
  • Spear-Phishing-Kampagnen, die gezielt bestimmte Einzelpersonen oder Organisationen angreifen.

APT24, auch bekannt als Pitty Tiger, konzentrierte sich in der Vergangenheit auf Sektoren wie Regierung, Gesundheitswesen, Bauwesen und Ingenieurwesen, Bergbau, gemeinnützige Organisationen und Telekommunikation in den USA und Taiwan. Es gibt Hinweise darauf, dass die Gruppe mindestens seit 2008 aktiv ist und Phishing-E-Mails mit schädlichen Microsoft-Office-Dokumenten einsetzt, die Sicherheitslücken wie CVE-2012-0158 und CVE-2014-1761 ausnutzen.

Malware-Arsenal: Von RATs bis zu BADAUDIO

APT24 hat eine breite Palette von Malware-Familien eingesetzt:

  • CT RAT
  • M RAT (Goldsun-B), eine Variante von Enfal/Lurid Downloader
  • Paladin RAT und Leo RAT, Varianten von Gh0st RAT
  • Hintertür von Taidoor (Roudan)

Das neu entdeckte BADAUDIO zeichnet sich durch seine Raffinesse aus. Es ist in C++ geschrieben, hochgradig verschleiert und nutzt Kontrollflussglättung, um Reverse Engineering zu erschweren. Es fungiert als Downloader der ersten Stufe und kann eine AES-verschlüsselte Nutzlast von einem fest codierten Command-and-Control-Server (C2) abrufen, entschlüsseln und ausführen.

BADAUDIO fungiert typischerweise als schädliche DLL, die die DLL-Suchreihenfolge manipuliert, um über legitime Anwendungen ausgeführt zu werden. Neuere Varianten werden als verschlüsselte Archive verbreitet, die neben DLLs auch VBS-, BAT- und LNK-Dateien enthalten.

Die BADAUDIO-Kampagne: Techniken und Umsetzung

Die seit November 2022 laufende BADAUDIO-Kampagne nutzte mehrere anfängliche Zugriffsvektoren:

  • Wasserlöcher
  • Kompromisse in der Lieferkette
  • Spear-Phishing-E-Mails

Von 2022 bis Anfang 2025 kompromittierte APT24 über 20 legitime Websites, indem es JavaScript einschleuste, das Folgendes bewirkte:

  • Ausgeschlossene Besucher von macOS, iOS und Android.
  • Mit FingerprintJS wurden eindeutige Browser-Fingerabdrücke generiert.
  • Es wurden Pop-ups angezeigt, die Benutzer aufforderten, BADAUDIO herunterzuladen, getarnt als Google Chrome-Update.

Im Juli 2024 eskalierte die Gruppe ihre Aktivitäten mit einem Lieferkettenangriff über ein regionales Digitalmarketing-Unternehmen in Taiwan, indem sie bösartigen JavaScript-Code in eine weit verbreitete Bibliothek einschleuste. Dies betraf mehr als 1.000 Domains.

Der Angriff nutzte eine durch Typosquatting entstandene CDN-Domain, um vom Angreifer kontrollierte Skripte abzurufen, Rechner zu identifizieren und gefälschte Pop-ups auszuspielen. Ein im Juni 2025 eingeführter Mechanismus zum bedingten Laden von Skripten ermöglichte gezielte Angriffe auf einzelne Domains. Eine kurze Sicherheitslücke im August führte jedoch dazu, dass alle 1.000 Domains kompromittiert werden konnten, bevor die Einschränkung wieder in Kraft trat.

Fortgeschrittenes Phishing und Social Engineering

Seit August 2024 führt APT24 gezielte Phishing-Kampagnen durch und nutzt dabei Köder wie Tierschutzorganisationen. Die Opfer erhalten verschlüsselte Archive mit BADAUDIO über Google Drive oder Microsoft OneDrive, die Tracking-Pixel enthalten, um die Interaktion zu überwachen und die Angriffe zu optimieren.
Die Kombination aus Manipulation der Lieferkette, fortgeschrittenem Social Engineering und Missbrauch von Cloud-Diensten demonstriert die Fähigkeit von APT24 zur anhaltenden, adaptiven Spionage.

Die Aktivitäten von APT24 verdeutlichen die zunehmende Komplexität staatlich gesteuerter Cyberbedrohungen und unterstreichen die Notwendigkeit für Organisationen, eine strenge Sicherheitsüberwachung einzuführen, die Integrität der Software zu überprüfen und die Mitarbeiter über ausgeklügelte Phishing-Angriffe und Lieferkettenrisiken aufzuklären.

Im Trend

Am häufigsten gesehen

Wird geladen...