APT24 组织 BadAudio 恶意软件攻击活动技术分析
一、新闻概述
1. 标题
中国背景 APT24 组织利用 BadAudio 恶意软件入侵合法网站实施攻击
2. 发布时间
2025 年 11 月 21 日
3. 来源
Cyber Security News
二、核心内容
1. 事件摘要
A. 主要内容
与中国相关的 APT24 高级持续性威胁组织发起了为期三年的恶意软件投放活动,利用高度混淆的 BadAudio 第一阶段下载器实现对目标组织的持久化网络访问。
B. 核心亮点
- APT24 组织展示了从广泛的战略性 Web 入侵转向精确针对性攻击的能力
- 攻击重点转向台湾地区的实体组织
- 结合多种攻击向量:供应链入侵和定向钓鱼攻击
- 利用合法云存储平台(Google Drive、OneDrive)分发恶意载荷
2. 关键信息
A. 涉及组织
APT24(与中国相关的网络间谍组织)
B. 攻击工具
BadAudio:高度混淆的第一阶段下载器
C. 攻击时间线
- 活动持续:约三年
- BadAudio 出现:2022 年 11 月开始武器化
D. 目标区域
主要针对台湾地区的实体和组织
3. 背景介绍
A. 组织历史
APT24 是已知的网络间谍组织,此前主要利用战略性 Web 入侵(Strategic Web Compromise)技术进行广泛攻击。
B. 攻击演变
组织近期转向多向量攻击模式,结合供应链入侵和钓鱼攻击,展示出战术升级。
三、详细报道
1. 主要内容
A. 攻击方式转变
APT24 组织从广泛机会主义攻击转向更精确的针对性攻击:
- 供应链入侵:针对台湾地区的数字营销公司
- 定向钓鱼:伪装成动物救援组织的邮件
- 水坑攻击:入侵超过 20 个合法网站注入恶意 JavaScript
B. BadAudio 恶意软件特征
BadAudio 是一个用 C++ 编写的自定义第一阶段下载器,具有以下特点:
- 下载、解密并执行 AES 加密的载荷
- 从硬编码的命令与控制服务器获取指令
- 收集系统信息(主机名、用户名、系统架构)
- 使用 Cookie 参数加密传输数据,规避检测
C. 技术细节
控制流平坦化混淆
BadAudio 采用了控制流平坦化(Control Flow Flattening)技术,这是一种高级混淆方法,通过系统性破坏程序的自然逻辑结构来增加逆向分析难度。
DLL 劫持技术
恶意软件主要以动态链接库形式存在,利用 DLL 搜索顺序劫持(Search Order Hijacking)通过合法应用程序获取执行权限。
加密载荷传递
后续载荷使用硬编码的 AES 密钥解密,已被确认为 Cobalt Strike Beacon,提供完整的远程访问能力。
2. 技术细节
A. 攻击流程
graph TB
A[受害者访问合法网站] --> B[注入恶意JS重定向]
B --> C[下载BadAudio下载器]
C --> D[DLL劫持执行]
D --> E[收集系统信息]
E --> F[加密数据通过Cookie传输]
F --> G[下载AES加密载荷]
G --> H[Cobalt Strike Beacon]
H --> I[建立持久化后门]
B. 战略性 Web 入侵攻击流
sequenceDiagram
participant V as 受害者
participant CW as 合法网站
participant Att as 攻击者基础设施
participant C2 as C2服务器
V->>CW: 访问网站
CW->>Att: 恶意JS重定向
Att->>V: 返回BadAudio下载器
V->>V: DLL劫持执行
V->>C2: 发送加密信标
C2->>V: 返回加密载荷
V->>V: 解密执行Beacon
C. JavaScript 供应链攻击
graph LR
A[数字营销公司] --> B[JS库被入侵]
B --> C[恶意代码注入]
C --> D[客户端访问]
D --> E[重定向至攻击者]
E --> F[BadAudio载荷下载]
D. 性能指标
- 攻击持续时间:三年
- 被入侵网站数量:超过 20 个合法网站
- 加密强度:AES 加密
- 检测规避:Cookie 参数加密传输
3. 数据与事实
A. 攻击范围
- 持续时间:约三年
- 目标区域:台湾地区
- 被入侵网站:20+ 合法公共网站
B. 技术特点
- 编程语言:C++
- 混淆技术:控制流平坦化
- 加密算法:AES
- 后门工具:Cobalt Strike Beacon
C. 攻击载体
- 恶意 JavaScript 注入
- 加密压缩包(VBS、BAT、LNK 文件)
- 合法云存储平台(Google Drive、OneDrive)
四、影响分析
1. 行业影响
A. 供应链安全威胁
数字营销公司成为攻击跳板,凸显供应链安全的重要性。第三方服务提供商的安全状况直接影响下游客户。
B. 水坑攻击趋势
合法网站被入侵用于攻击访客,水坑攻击(Watering Hole)依然是高级威胁组织的有效战术。
C. 检测规避升级
攻击者使用 Cookie 参数加密传输信标数据,规避传统网络检测,需要更高级的检测手段。
2. 用户影响
A. 台湾地区组织
主要针对台湾地区的实体,包括政府和私营部门组织。
B. 访问被入侵网站的用户
超过 20 个合法网站被注入恶意代码,普通访客面临被植入恶意软件的风险。
C. 供应链下游企业
使用被入侵数字营销公司服务的多个组织同时受到影响。
3. 技术趋势
A. 攻击战术演变
- 从广泛攻击转向精确针对性攻击
- 结合多种攻击向量提高成功率
- 利用合法平台规避检测
B. 恶意软件复杂化
- 控制流平坦化等高级混淆技术普及
- 多阶段载荷传递增加分析难度
- 合法工具滥用(Cobalt Strike)
C. 防御挑战
- 传统网络检测难以识别加密信标
- 合法网站被入侵增加防御难度
- 云存储平台被滥用需要新的检测策略
五、防护建议
1. 组织层面
A. 供应链安全评估
- 定期评估第三方服务提供商的安全状况
- 建立供应链安全准入标准
- 监控第三方服务的异常行为
B. 网站安全加固
- 定期进行漏洞扫描和安全测试
- 实施 Web 应用防火墙(WAF)
- 监控网站异常 JavaScript 注入
C. 员工安全意识
- 开展钓鱼邮件识别培训
- 建立可疑邮件报告机制
- 强调不随意下载未知附件
2. 技术层面
A. 端点检测
- 部署端点检测与响应(EDR)解决方案
- 监控异常 DLL 加载行为
- 检测控制流平坦化等混淆特征
B. 网络监控
- 实施 SSL/TLS 流量分析
- 监控异常网络连接模式
- 建立威胁情报驱动的检测规则
C. 横向移动防护
- 实施网络分段
- 限制管理员权限使用
- 监控异常横向移动行为
六、各方反应
1. 研究机构
Google Cloud 安全分析师通过识别与以往 APT24 活动一致的模式,发现了 BadAudio 恶意软件,并发布了详细的技术分析报告。
2. 业内评价
A. 专家观点
- APT24 的战术演变展示了高级威胁组织的适应能力
- 供应链入侵与定向钓鱼的结合增加了防御难度
- 控制流平坦化等混淆技术的使用需要更先进的分析工具
B. 技术社区
- 强调需要加强供应链安全管理
- 呼吁改进网络流量分析能力
- 建议部署更高级的端点检测解决方案
七、相关链接
1. 官方报告
- Google Cloud 威胁情报报告:APT24 Multi-Vector Attacks
2. 相关报道
- Cyber Security News 原文报道
- APT24 组织历史活动分析
3. 技术文档
- Cobalt Strike Beacon 技术分析
- 控制流平坦化混淆技术解析