Google exposes BadAudio malware used in APT24 espionage campaigns

Campagne d’espionnage APT24 : Déploiement du malware BadAudio

Le groupe APT24, associé à la Chine, utilise depuis trois ans un malware auparavant inconnu, BadAudio, dans le cadre de campagnes d’espionnage. Ces dernières ont récemment évolué vers des méthodes d’attaque plus sophistiquées.

Points Clés :

• Persistance et Évolution : APT24 utilise BadAudio depuis au moins novembre 2022, adaptant constamment ses tactiques pour échapper à la détection.
• Méthodes de Diffusion Variées : Le malware est diffusé via spearphishing, compromission de la chaîne d’approvisionnement et attaques par puits d’eau (watering hole).
• Techniques d’Attaque Sophistiquées :
  • Sites Web Compromis : Injection de code JavaScript malveillant dans plus de 20 sites web légitimes pour cibler spécifiquement les utilisateurs de Windows, les incitant à télécharger des fausses mises à jour.
  • Compromission de la Chaîne d’Approvisionnement : Compromission d’une entreprise de marketing numérique taïwanaise pour injecter du JavaScript malveillant dans des bibliothèques distribuées à plus de 1000 domaines. Une autre tactique a impliqué la modification de fichiers JSON via le même fournisseur.
  • Spearphishing : Envoi d’e-mails trompeurs (se faisant passer pour des organisations de sauvetage d’animaux) contenant des liens vers le malware, parfois distribué via des services cloud légitimes (Google Drive, OneDrive).
• Fonctionnement de BadAudio :
  • Obfuscation poussée : Le malware utilise des techniques comme le “control flow flattening” pour rendre l’analyse difficile.
  • Exécution : S’exécute via le “DLL search order hijacking” ou le “DLL sideloading” pour se dissimuler.
  • Collecte d’Informations : Récupère des détails système basiques (nom d’hôte, utilisateur, architecture), les chiffre avec une clé AES et les envoie à un serveur de commande et contrôle (C2).
  • Charge Utile : Télécharge et exécute une charge utile chiffrée en mémoire. Dans certains cas, le Cobalt Strike Beacon a été déployé.
• Faible Détection : Malgré son utilisation prolongée, BadAudio a largement échappé à la détection, avec seulement quelques échantillons marqués comme malveillants sur des plateformes d’analyse antivirus.

Vulnérabilités :

L’article ne mentionne pas de CVEs spécifiques directement liées à des vulnérabilités dans des logiciels ou systèmes d’exploitation. Les vulnérabilités exploitées sont plutôt liées aux faiblesses dans les processus de sécurité :

• Failles dans la sécurité des sites web et des chaînes d’approvisionnement : Permettant l’injection de code malveillant et la distribution de bibliothèques compromises.
• Ingénierie sociale : Exploitation de la confiance des utilisateurs via des faux messages de mise à jour ou des e-mails trompeurs.
• Techniques d’obfuscation et d’évasion : Rend l’identification et l’analyse du malware difficiles pour les solutions de sécurité traditionnelles.

Recommandations :

Bien que l’article se concentre sur la description de la menace, les pratiques d’atténuation générales dans ce contexte incluent :

• Renforcer la sécurité des sites web et des chaînes d’approvisionnement : Audits réguliers, validation des scripts tiers, surveillance des modifications dans les bibliothèques de code.
• Sensibilisation à la sécurité : Former les utilisateurs à reconnaître les tentatives de phishing, les fausses alertes de mise à jour et à être prudents quant aux liens et aux téléchargements.
• Surveillance et détection avancées : Utiliser des solutions de sécurité capables de détecter les comportements suspects, les techniques d’obfuscation et l’exfiltration de données, même pour des malwares inconnus.
• Mises à jour et patchs de sécurité : S’assurer que tous les systèmes et logiciels sont à jour pour corriger les vulnérabilités connues.

Source