کمیته رکن چهارم – گروه سایبری APT24 که با نامهایی مانند Pitty Tiger نیز شناخته میشود، از بدافزار جدیدی بهنام BADAUDIO برای اجرای کمپین چندسالهای از جاسوسی سایبری علیه تایوان و بیش از ۱۰۰۰ دامنه استفاده کرده است. این کمپین از نوامبر ۲۰۲۲ تاکنون ادامه دارد و از روشهایی مانند فیشینگ هدفمند، حمله زنجیره تأمین و تزریق اسکریپتهای مخرب بهره میبرد.
به گزارش کمیته رکن چهارم، BADAUDIO یک بدافزار مبهمسازیشده به زبان C++ است که ابتدا اطلاعات سیستمی قربانی را برای سرورهای کنترل ارسال میکند و سپس با دریافت فایل رمزگذاریشده، payload مرحله بعد را اجرا مینماید. این بدافزار معمولاً از طریق فایلهای DLL و تکنیکهایی مانند DLL hijacking روی سیستم اجرا میشود.
حمله زنجیره تأمین در این کمپین از طریق نفوذ به شرکت بازاریابی دیجیتال تایوانی انجام شده و کتابخانههای توزیعی آن شرکت به گونهای دستکاری شدهاند که اسکریپت مخرب را به بازدیدکنندگان بیش از ۱۰۰۰ دامنه تحویل دهند. در موارد خاصی، پیام بروزرسانی جعلی مرورگر Chrome فقط به کاربران ویندوز نمایش داده میشود تا آنها را به دانلود BADAUDIO ترغیب کند.
گروه APT24 همچنین از قالبهای فیشینگ با موضوعات خیریه و اجتماعی برای فریب کاربران استفاده کرده و فایلهای آلوده را از طریق سرویسهای ابری مانند Google Drive ارسال کرده است. این ایمیلها اغلب با پیکسلهای ردیابی همراه بودهاند.
در کنار این کمپین، گزارش جداگانهای از شرکت CyberArmor نیز از حملهای مشابه با سوءاستفاده از آسیبپذیری WinRAR در کشورهای آسیای جنوب شرقی خبر داده است که به نظر میرسد مرتبط با همین ساختار عملیاتی باشد.
این فعالیتها بیانگر افزایش چشمگیر سطح پیچیدگی و پایداری عملیات گروههای سایبری وابسته به دولت چین در منطقه آسیا-اقیانوسیه است.
