Google Tehdit İstihbarat Grubu (GTIG), Çin bağlantılı bir tehdit aktörü olan APT24 tarafından düzenlenen ve BADAUDIO kötü amaçlı yazılımlarının dağıtımı ve stratejik web ihlalleri yoluyla öncelikle Tayvan’daki kuruluşları hedef alan üç yıllık karmaşık bir siber casusluk kampanyasını açıkladı.
APT24’ün operasyonları Kasım 2022’den bu yana önemli bir dönüşüm geçirdi. Tehdit aktörü, ilk aşamada, oldukça karmaşık bir birinci aşama indirici olan BADAUDIO’yu sunmak için endüstriyel kaygılardan eğlence ürünlerine kadar çeşitli sektörleri kapsayan 20’den fazla meşru kamu web sitesini tehlikeye attı ve kötü amaçlı JavaScript verileri enjekte etti.
Bu fırsatçı yaklaşım, o zamandan bu yana, tedarik zinciri saldırıları ve Tayvanlı kuruluşlar için özel olarak tasarlanmış hedefli kimlik avı kampanyaları da dahil olmak üzere daha karmaşık taktiklere dönüştü.
BADAUDIO kötü amaçlı yazılımı, kurban ağlarına kalıcı erişim sağlayan özel bir C++ indiricisi olarak hizmet ediyor. Yürütülmesinin ardından, sabit kodlu komut ve kontrol sunucularından AES şifreli yükleri indirir, şifresini çözer ve çalıştırır.
Doğrulanan vakalarda, şifresi çözülen yükün, daha önce ayrı APT24 operasyonlarında gözlemlenen benzersiz bir filigranı içeren Kobalt Saldırı İşareti olduğu belirlendi.
Tehdit aktörünün ilk kampanyası, özellikle Windows sistemlerine odaklanarak macOS, iOS, Android ve Internet Explorer/Edge tarayıcılarını hariç tutan JavaScript’i enjekte ederek meşru web sitelerini silah haline getirdi.
Kötü amaçlı yazılım, FingerprintJS kitaplığını kullanarak, doğrulama için saldırgan tarafından kontrol edilen alanlara iletilen benzersiz tarayıcı parmak izleri oluşturdu.
Başarılı parmak izi doğrulaması, yasal yazılım güncellemelerini taklit eden, kullanıcıları BADAUDIO kötü amaçlı yazılımını indirmeye ve çalıştırmaya kandıran uydurma açılır pencereleri tetikledi.
BADAUDIO genellikle, yürütme için DLL Arama Sırasının Ele Geçirilmesinden yararlanan kötü amaçlı bir Dinamik Bağlantı Kitaplığı olarak ortaya çıkar.
En yeni varyantlar, DLL yerleştirmeyi otomatikleştiren, başlangıç girişleri aracılığıyla kalıcılık sağlayan ve doğrudan tehlike göstergelerini en aza indirerek DLL yan yüklemesini tetikleyen VBS, BAT ve LNK dosyalarını içeren şifrelenmiş arşivleri içerir.
Tedarik Zincirindeki Uzlaşma Etkiyi Artırıyor
Temmuz 2024’te APT24, Tayvan’daki bölgesel bir dijital pazarlama firmasının güvenliğini ihlal ederek operasyonlarını artırdı ve yıkıcı bir tedarik zinciri saldırısında 1.000’den fazla alanı etkiledi.
Firma yıl boyunca çok sayıda yeniden uzlaşma yaşadı ve bu da APT24’ün ısrarlı kararlılığını gösterdi.
Saldırganlar, yaygın olarak kullanılan JavaScript kitaplıklarına kötü amaçlı kod enjekte ederek, meşru İçerik Dağıtım Ağlarını taklit etmek için yazım hatası yapan alanlardan yararlanıyor.
Temmuz 2025’teki yeniden uzlaşma sırasında, rakipler, kötü niyetli olarak değiştirilmiş JSON dosyalarının içine oldukça karmaşık komut dosyaları gizledi; bu, genellikle kod yürütmeyle ilişkili olmayan dosya türlerindeki yükleri gizleyen alışılmadık bir taktikti.
Kötü amaçlı yazılım, meşru jQuery ve FingerprintJS2 kitaplıklarını dinamik olarak yükledi, x64hash128 tarayıcı karmalarını kullanarak gelişmiş parmak izi kullandı ve Base64 kodlu keşif verilerini gizli POST istekleri aracılığıyla saldırganın uç noktalarına aktardı.
Web tabanlı saldırıları tamamlayan APT24, hayvan kurtarma kuruluşlarından geldiği iddia edilen e-postalar gibi tuzakları kullanarak yüksek hedefli sosyal mühendislik kampanyaları yürüttü.
Grup, BADAUDIO içeren şifrelenmiş arşivleri dağıtmak için Google Drive ve OneDrive dahil olmak üzere meşru bulut depolama platformlarını kötüye kullandı, ancak Google bu mesajları başarıyla spam’e yönlendirdi.
Piksel izleme bağlantıları, onaylanmış e-postanın açıldığını ve daha sonraki kullanım için doğrulanmış hedef ilgi alanını gösterir.
Endüstri Etkileri
GTIG, kullanıcıları büyük tarayıcılarda korumak için tanımlanan tüm web sitelerini, etki alanlarını ve dosyaları Güvenli Tarama engelleme listelerine ekleyerek kapsamlı koruyucu önlemler uyguladı.
Ekip, ele geçirilen sitelere teknik ayrıntıları içeren mağdur bildirimleri gerçekleştirerek etkilenen kuruluşların altyapılarını güvence altına almasına ve gelecekteki enfeksiyonları önlemesine olanak tanıdı.
Bu kampanya, tespit edilmekten kaçınmak için giderek daha gizli taktikler kullanan ÇHC bağlantılı tehdit aktörlerinin devam eden evrimine örnek teşkil ediyor.
Doğal program mantığını merkezi dağıtıcılar tarafından yönetilen bağlantısız bloklara ayıran bir şaşırtma tekniğini düzleştiren kontrol akışının karmaşık kullanımı, hem otomatik hem de manuel tersine mühendislik çabalarını önemli ölçüde engeller.
GTIG, bu bulguların güvenlik topluluğuyla paylaşılmasının tehdit avlama yeteneklerini artırdığını ve APT24 gibi kalıcı ve uyarlanabilir casusluk tehditlerine karşı sektör genelinde kullanıcı korumasını güçlendirdiğini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.