Çin’le bağlantılı APT24, son üç yıldır daha önce belgelenmemiş BadAudio adlı bir zararlı yazılım kullanarak casusluk kampanyaları yürütüyor. Son dönemde daha sofistike saldırı yöntemlerine geçiş yapan grup, bu yazılımı hedeflerine ulaştırmak için bir dizi yöntem kullanıyor.
Kampanya Gelişimi
Kasım 2022’den en az Eylül 2025’e kadar, APT24, çeşitli alanlardan 20’den fazla meşru kamu web sitesini tehlikeye atarak, belirli ziyaretçileri hedef alan zararlı JavaScript kodları enjekte etti. Bu saldırıların merkezinde yalnızca Windows sistemleri yer alıyordu.
Google Tehdit İstihbarat Grubu (GTIG) araştırmacıları, bu scripton, hedef kitleyi belirlemek için ziyaretçileri parmak izine aldığını ve kullanıcıları BadAudio’yu indirmeye ikna etmek için sahte bir yazılım güncellemesi pop-up’ı yüklediğini belirtiyor.
Özellikle Temmuz 2024 itibarıyla, APT24, Tayvan’da bir dijital pazarlama şirketini birkaç kez ele geçirdi. Bu şirkete ait JavaScript kütüphanelerine zararlı kodlar enjekte eden saldırganlar, aynı zamanda meşru bir İçerik Dağıtım Ağı (CDN) gibi davranan bir alan adı kaydetti. Bu sayede 1,000’den fazla alanı tehlikeye atmayı başardılar.
Spearphishing ve Tedarik Zinciri Saldırıları
Ayrıca, APT24, Ağustos 2024’te hayvan kurtarma organizasyonlarını taklit eden e-postalarla BadAudio zararlı yazılımını yaymak için spearphishing işlemleri başlattı. Bu saldırılarda bazıları, zararlı yazılım dağıtımı için Google Drive ve OneDrive gibi meşru bulut hizmetlerini kullandı. Ancak, GTIG, bu saldırıların çoğunun tespit edildiğini ve mesajların spam kutusuna düştüğünü bildirdi.
Bu noktada dikkat çeken bir husus, saldırganların e-postalara izleme pikselleri ekleyerek alıcıların e-postaları açtıklarını doğrulamalarıydı.
GTIG’nin analizine göre, BadAudio zararlı yazılımı oldukça karmaşık bir obfuscation yöntemi kullanarak tespit edilmekten kaçınıyor ve güvenlik araştırmacıları için analiz etmeyi zorlaştırıyor. Özel bir uygulama aracılığıyla kötü amaçlı yüklerin çalıştırılmasını sağlamak için DLL arama sırası kaçırma tekniğini kullanıyor.
BadAudio Malware Yükleyici
BadAudio çalışan cihazda temel sistem bilgilerini topluyor (ana bilgisayar adı, kullanıcı adı, mimari) ve bu bilgileri şifreleyip, sert bir komut ve kontrol (C2) adresine gönderiyor. Ardından, şifreli bir yükü C2’den indirip, deşifre ediyor ve DLL sideloading kullanarak bellekte çalıştırıyor.
Google araştırmacılarının gözlemlediği kadarıyla, BadAudio aracılığıyla Cobalt Strike Beacon’ın dağıtımı da gerçekleştirilmiş. Ancak, GTIG, tüm analiz edilen örneklerde Cobalt Strike Beacon’in varlığını doğrulayamadıklarını belirtiyor.
APT24’in BadAudio yazılımını üç yıl boyunca kullanmasına rağmen, taktiklerinin büyük ölçüde gizli kalmayı başardığını vurgulamak gerekiyor. GTIG’nin raporunda sağladığı sekiz örneğin sadece ikisi, VirusTotal tarama platformunda 25’ten fazla antivirüs motoru tarafından zararlı olarak işaretlenmiştir.
APT24’in, daha sessiz ve uzun süreli casusluk gerçekleştirme kabiliyeti, bu tür tehdit aktörlerinin nasıl sürekli ve uyumlu bir şekilde evrim geçirdiğini göstermektedir.
