Google обнаружила вредонос BADAUDIO в кибератаках китайских хакеров

Специалисты Google Threat Intelligence Group рассказали о трёхлетней серии кибератак от китайской хакерской группировки APT24 (также известной как Pitty Tiger). Они велись с помощью вредоносного ПО BADAUDIO. Целью была интеллектуальная собственность государственных структур, коммерческих и некоммерческих организаций США и Тайваня.

BADAUDIO распространялась с 2022 года через целевой фишинг, взломы в цепочках поставок и атаки типа watering hole. С ноября 2022-го по сентябрь 2025 года APT24 скомпрометировала 20 легитимных сайтов в разных доменах. Хакеры внедряли в код вредоносный JavaScript, который снимал отпечатки посетителей на Windows и показывал фальшивое всплывающее окно про обновление софта. Через эту страницу загружалось ВПО.

Злоумышленники из APT24 с июля 2024 года неоднократно взламывали неназванную региональную тайваньскую маркетинговую компанию, которая раздаёт JavaScript-библиотеки клиентам. Хакеры внедрили вредоносный код в популярную библиотеку и зарегистрировали домен, притворяясь легитимным CDN. В итоге было скомпрометировано более тысячи доменов. В одной из атак злоумышленники внедрили обфусцированный JavaScript в модифицированный JSON-файл. Скрипт собирал данные о посетителях и отправлял закодированный base64-отчёт на управляющий сервер.

Параллельно с августа 2024 года группировка запустила целевой фишинг через email-рассылки. Хакеры маскировались под организации по спасению животных. В письмах использовались скрытые механизмы для слежки, чтобы понять, открыл ли получатель послание. В некоторых атаках для сбора данных использовались Google Drive и OneDrive вместо собственных серверов. Правда, такие злоупотребления часто блокировались. Как минимум в одном случае через BADAUDIO развернули маяк Cobalt Strike.

BADAUDIO представляет собой сильно обфусцированный загрузчик. Он использует технику DLL search order, позволяющую вредоносной нагрузке загружаться через легитимные приложения. Во вредоносе использована хитрая обфускация, которая разбивает линейный код на разрозненные блоки, управляемые центральным диспетчером. Такое запутывание сложно обнаружить и в автоматическом режиме через ИБ-инструменты, и в ручном режиме. После запуска BADAUDIO собирает базовую системную информацию — имена хоста и пользователя, архитектуру. Она шифруется AES-ключом и отправляется на сервер атакующих. Потом загружается зашифрованная полезная нагрузка, расшифровывается и выполняется в памяти через DLL sideloading.

Ведущий исследователь угроз Google Threat Intelligence Group Антон Иванов отмечает, что из восьми обнаруженных образцов BADAUDIO только два распознаются 25 антивирусами на VirusTotal. Остальные образцы детектируются максимум пятью защитными программами.