กลุ่มแฮ็กเกอร์ APT24 ซึ่งมีความเชื่อมโยงกับรัฐบาลจีน ได้ใช้มัลแวร์ชนิดใหม่ที่ไม่เคยถูกตรวจพบมาก่อนในชื่อ "BadAudio" ในการขโมยข้อมูลที่ดำเนินต่อเนื่องมานานกว่า 3 ปี โดยเมื่อเร็ว ๆ นี้ กลุ่มดังกล่าวได้เปลี่ยนรูปแบบการโจมตีให้มีความซับซ้อน และแนบเนียนยิ่งขึ้น

นับตั้งแต่ปี 2022 เป็นต้นมา มัลแวร์ดังกล่าวถูกแพร่กระจายไปยังเหยื่อผ่านหลากหลายวิธี ได้แก่ Spearphishing, Supply-chain compromise และ Watering hole attacks

วิวัฒนาการของการโจมตี

ตั้งแต่เดือนพฤศจิกายน 2022 จนถึงอย่างน้อยเดือนกันยายน 2025 กลุ่ม APT24 ได้เข้าโจมตีระบบเว็บไซต์มากกว่า 20 แห่งจากหลากหลายโดเมน เพื่อฝังโค้ด JavaScript ที่เป็นอันตราย โดยมีวัตถุประสงค์เพื่อคัดกรองเฉพาะผู้เข้าชมที่กลุ่มแฮ็กเกอร์สนใจ และมุ่งเป้าไปที่ผู้ใช้งานระบบปฏิบัติการ Windows เพียงอย่างเดียว

นักวิจัยจาก Google Threat Intelligence Group (GTIG) ระบุว่า Script ดังกล่าวจะทำการเก็บข้อมูล Fingerprint ของผู้เข้าชมที่เข้าข่ายเป็นเป้าหมาย จากนั้นจะแสดงหน้าต่าง pop-up แจ้งเตือนให้อัปเดตซอฟต์แวร์ปลอม เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมัลแวร์ BadAudio

นอกจากนี้ เริ่มตั้งแต่เดือนกรกฎาคม 2024 ทางกลุ่ม APT24 ยังได้โจมตีระบบของบริษัทการตลาดดิจิทัลแห่งหนึ่งในไต้หวันซ้ำหลายครั้ง ซึ่งบริษัทนี้เป็นผู้ให้บริการไลบรารี JavaScript แก่เว็บไซต์ลูกค้าต่าง ๆ (ถือเป็นการโจมตีแบบ Supply Chain)

ด้วยกลยุทธ์ดังกล่าว ผู้โจมตีได้ฝังโค้ด JavaScript ที่เป็นอันตรายลงในไลบรารีที่มีผู้ใช้งานจำนวนมากซึ่งบริษัทดังกล่าวเป็นผู้แจกจ่าย อีกทั้งยังจดทะเบียนชื่อโดเมนเพื่อแอบอ้างว่าเป็น Content Delivery Network (CDN) ที่ถูกต้องตามกฎหมาย ซึ่งการกระทำดังกล่าวทำให้ผู้โจมตีสามารถโจมตีระบบโดเมนต่าง ๆ ได้มากกว่า 1,000 โดเมน

ในช่วงปลายปี 2024 ถึงเดือนกรกฎาคม 2025 กลุ่ม APT24 ได้เข้าโจมตีระบบของบริษัทการตลาดรายเดิมซ้ำ ๆ หลายครั้ง โดยการฝังโค้ด JavaScript ที่ถูกซ่อนลงในไฟล์ JSON ที่ถูกดัดแปลง ซึ่งไฟล์ดังกล่าวจะถูกเรียกใช้งานโดยไฟล์ JavaScript อีกไฟล์หนึ่งของผู้ให้บริการรายเดียวกัน

เมื่อโค้ดดังกล่าวถูกเรียกใช้ มันจะทำการเก็บข้อมูล Fingerprint ของผู้เข้าชมเว็บไซต์แต่ละราย และส่งรายงานที่เข้ารหัสแบบ Base64 กลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ข้อมูลนี้ช่วยให้ผู้โจมตีสามารถตัดสินใจได้ว่าจะส่ง URL สำหรับการโจมตีในขั้นตอนถัดไปกลับไปหาเหยื่อรายนั้นหรือไม่

ในขณะเดียวกัน ตั้งแต่เดือนสิงหาคม 2024 กลุ่ม APT24 ได้ใช้การโจมตีแบบ Spearphishing ควบคู่ไปด้วย โดยแพร่กระจายมัลแวร์ BadAudio ผ่านการใช้กลยุทธ์ที่แอบอ้างว่าเป็นอีเมลจากองค์กรช่วยเหลือสัตว์

ในบางรูปแบบของการโจมตี กลุ่มแฮ็กเกอร์เลือกใช้บริการคลาวด์ที่ถูกต้อง และน่าเชื่อถือ เช่น Google Drive และ OneDrive ในการแพร่กระจายมัลแวร์แทนการใช้เซิร์ฟเวอร์ของตนเอง อย่างไรก็ตาม Google ระบุว่าความพยายามในการโจมตีจำนวนมากถูกระบบตรวจจับได้ และอีเมลเหล่านั้นถูกคัดกรองลงไปอยู่ใน Junk Mail

และยังตรวจพบว่าภายในอีเมลมีการฝัง Tracking Pixels เพื่อยืนยันกลับไปยังแฮ็กเกอร์ว่าผู้รับได้เปิดอ่านอีเมลนั้นเมื่อใด

BadAudio Malware Loader

จากการวิเคราะห์ของ GTIG ระบุว่า มัลแวร์ BadAudio ถูกซ่อนโค้ดไว้อย่างแนบเนียนเพื่อหลบเลี่ยงการตรวจจับ และขัดขวางการวิเคราะห์จากนักวิจัยด้านความปลอดภัย

มัลแวร์ตัวนี้สั่งการทำงานผ่านเทคนิคที่เรียกว่า "DLL search order hijacking" ซึ่งเป็นวิธีที่ช่วยให้แอปพลิเคชันที่ถูกต้อง ไปเรียกโหลดไฟล์อันตรายขึ้นมาทำงานแทนไฟล์จริง

GTIG อธิบายในรายงานว่า "มัลแวร์ถูกออกแบบมาโดยใช้ Control Flow Flattening ซึ่งเป็นเทคนิคการซ่อนโค้ดที่ซับซ้อน โดยมันจะทำการรื้อ และทำลายโครงสร้างการทำงานตามธรรมชาติของโปรแกรมอย่างเป็นระบบ"

"วิธีการนี้จะแทนที่โค้ดแบบ Linear Code ด้วยชุดของบล็อกคำสั่งที่แยกขาดจากกัน ที่ถูกควบคุมโดย 'Dispatcher' ส่วนกลาง และตัวแปรสถานะ ทำให้ผู้วิเคราะห์จำเป็นต้องแกะรอยเส้นทางการทำงานแต่ละเส้นทางด้วยตนเอง ซึ่งเป็นการขัดขวางความพยายามในการทำ Reverse Engineering ทั้งในรูปแบบ automated และแบบ manual อย่างมาก"

เมื่อ BadAudio ถูกเรียกใช้งานบนอุปกรณ์ของเป้าหมาย มันจะรวบรวมรายละเอียดพื้นฐานของระบบ ได้แก่ hostname, username และ architecture เพื่อทำการเข้ารหัสข้อมูลดังกล่าวโดยใช้ AES key ที่ฝังมาในตัวโค้ด และส่งไปยังเซิร์ฟเวอร์ C2 ที่มีการระบุไว้

จากนั้น มันจะดาวน์โหลด payload ที่ถูกเข้ารหัส AES มาจากเครื่อง C2 ทำการถอดรหัส และเรียกใช้ในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ โดยใช้เทคนิค DLL Sideloading

ในอย่างน้อยหนึ่งกรณี นักวิจัยของ Google ตรวจพบการติดตั้ง Cobalt Strike Beacon ผ่านทางมัลแวร์ BadAudio ซึ่ง Cobalt Strike เป็น framework สำหรับการทดสอบโจมตีระบบที่มักถูกผู้ไม่หวังดีนำไปใช้ในการโจมตีอย่างแพร่หลาย

ทางนักวิจัยเน้นย้ำว่า พวกเขาไม่สามารถยืนยันได้ว่าพบ Cobalt Strike Beacon ในทุกกรณีที่มีการวิเคราะห์

ทั้งนี้ เป็นที่น่าสังเกตว่าแม้จะมีการใช้งาน BadAudio มานานถึง 3 ปี แต่กลยุทธ์ของ APT24 ก็ประสบความสำเร็จในการทำให้มัลแวร์ดังกล่าวรอดพ้นจากการถูกตรวจจับมาได้เป็นส่วนใหญ่

จากตัวอย่างมัลแวร์ 8 รายการที่นักวิจัยของ GTIG ระบุในรายงาน มีเพียง 2 รายการเท่านั้นที่ถูกแจ้งเตือนว่าเป็นอันตรายโดยโปรแกรมแอนตี้ไวรัสมากกว่า 25 ตัวบนแพลตฟอร์มสแกน VirusTotal ส่วนตัวอย่างที่เหลือซึ่งมีวันที่สร้างไฟล์คือ 7 ธันวาคม 2022 นั้น ถูกตรวจพบโดยระบบรักษาความปลอดภัยเพียงไม่เกิน 5 แห่งเท่านั้น

GTIG ระบุว่า วิวัฒนาการของกลุ่ม APT24 ไปสู่การโจมตีที่แนบเนียนยิ่งขึ้นนั้น เป็นผลมาจากขีดความสามารถในการปฏิบัติการของกลุ่มผู้ไม่หวังดี และศักยภาพในการโจมตีที่ต่อเนื่อง และการปรับเปลี่ยนกลยุทธ์ตลอดเวลา"

ที่มา : bleepingcomputer