كشفت تقارير حديثة عن حملة تجسس سيبراني متطورة تقودها مجموعة APT24، المرتبطة بجمهورية الصين الشعبية، وتستخدم برنامج BadAudio الجديد لإتاحة وصول مستمر لشبكات المنظمات المستهدفة. تأتي هذه التطورات في ظل استراتيجية المجموعة المتغيرة نحو استهداف دقيق لكيانات محددة.
أظهرت مجموعة APT24 قدرة ملحوظة على التكيف، حيث انتقلت من اختراقات واسعة النطاق للمواقع الإلكترونية إلى هجمات موجهة بدقة، مع تركيز خاص على كيانات في تايوان. تعكس هذه الخبرة المتزايدة والمتطورة قدرات تقنية كبيرة للمجموعة.
حملة BadAudio: تهديد سيبراني متزايد
بدأت الجهود المكثفة للمجموعة في نوفمبر 2022، حيث تم استغلال أكثر من عشرين موقعًا إلكترونيًا شرعيًا. تم ذلك عبر إدخال حمولات برمجية خبيثة لجافا سكريبت، والتي حولت الزوار غير المتوقعين إلى بنية تحتية يتحكم بها المهاجمون. ويعكس هذا النهج “مواقع المياه” استعداد المجموعة لجمع البيانات على نطاق واسع مع تحديد ضحاياها بانتقاء دقيق.
تطورت منهجيات نشر البرمجيات الخبيثة باستمرار، مما يعكس التزام الجهات الفاعلة بالحفاظ على الفعالية التشغيلية ضد التدابير الدفاعية المتزايدة التعقيد. وقد نجح محللو الأمن السيبراني في Google Cloud في تحديد برمجية BadAudio الخبيثة بعد ملاحظة أنماط تتفق مع حملات APT24 السابقة.
تفاصيل البرمجية الخبيثة BadAudio
تعمل BadAudio كبرمجية تنزيل أولية مخصصة، مكتوبة بلغة C++، مصممة لتنزيل وفك تشفير وتنفيذ حمولات مشفرة بـ AES من خوادم القيادة والتحكم المضمنة. تقوم البرمجية بجمع معلومات أساسية عن النظام بهدوء، مثل اسم المضيف واسم المستخدم وهندسة النظام، ومن ثم تشفير هذه البيانات وتضمينها في معلمات ملف تعريف الارتباط (cookie parameters) المرسلة إلى نقاط النهاية التي يتحكم بها المهاجمون.
تؤدي تقنية الإرسال الخفي هذه إلى تعقيد أساليب الكشف التقليدية القائمة على الشبكة، مما يمكّن من البقاء لفترات طويلة دون إثارة تنبيهات أمنية. وقد أظهرت BadAudio مستوى عالٍ من التطور التقني، بما في ذلك استخدام تقنيات إخفاء متقدمة.
التطور التقني واستراتيجيات الهجوم
تتجلى البراعة التقنية في BadAudio من خلال تسطيح تدفق التحكم (control flow flattening)، وهي تقنية إخفاء متقدمة تقوم بتفكيك بنية المنطق الطبيعي للبرنامج بشكل منهجي. تظهر البرمجية الخبيثة بشكل أساسي كملف مكتبة ارتباط ديناميكي (DLL) خبيث، مستغلةً اختطاف ترتيب البحث عن DLL (DLL Search Order Hijacking) لاكتساب التنفيذ عبر التطبيقات المشروعة.
تستخدم الإصدارات الحديثة أرشيفات مشفرة تحتوي على ملفات BadAudio DLL جنبًا إلى جنب مع ملفات VBS و BAT و LNK. تعمل هذه الأخيرة على أتمتة آليات التثبيت والبقاء عبر إدخالات بدء التشغيل التنفيذية المشروعة. أكدت الحمولات اللاحقة، التي تم فك تشفيرها باستخدام مفاتيح AES الثابتة، أنها Cobalt Strike Beacon في الحالات التي تم تحديدها، مما يوفر قدرات وصول عن بعد كاملة للشبكات المخترقة.
استهداف دقيق وسلسلة توريد
لقد تحول تركيز APT24 مؤخرًا نحو آليات تسليم أكثر استهدافًا بدلًا من الهجمات العشوائية. وقد سمحت اختراقات سلسلة التوريد التي تستهدف شركات التسويق الرقمي الإقليمية في تايوان للمجموعة بشن هجمات متطورة تؤثر على منظمات متعددة في وقت واحد. كما تعتمد المجموعة على حملات التصيد الاحتيالي التي تستخدم الهندسة الاجتماعية، بما في ذلك رسائل البريد الإلكتروني المضللة التي تبدو وكأنها صادرة عن منظمات إنقاذ الحيوانات، لدفع المستخدمين لتنزيل البرمجيات الخبيثة مباشرة من البنية التحتية التي يتحكم بها المهاجمون.
كما شهدت الحملة استغلالًا لمنصات التخزين السحابي المشروعة مثل Google Drive و OneDrive لتوزيع أرشيفات مشفرة، مما يدل على استعداد المجموعة لإساءة استخدام الخدمات الموثوقة لأغراض خبيثة. هذه الاستراتيجيات مجتمعة تشكل تهديدًا معقدًا يتطلب يقظة مستمرة وتعزيزًا للإجراءات الأمنية.