Kể từ năm 2022, phần mềm độc hại phân phối thông qua nhiều phương pháp bao gồm spearphishing, xâm phạm chuỗi cung ứng và tấn công watering hole.
Tiến trình chiến dịch
Từ tháng 11/2022 cho đến ít nhất là tháng 9/2025, APT24 đã xâm phạm hơn 20 trang web công cộng hợp pháp từ nhiều tên miền khác nhau, để chèn mã JavaScript độc hại vào những người dùng truy cập quan tâm, trọng tâm chỉ nhắm vào các hệ thống Windows.
Các nhà nghiên cứu tại Google Threat Intelligence Group (GTIG) cho biết, tập lệnh này đã lấy dấu vân tay của những người truy cập đủ điều kiện làm mục tiêu, đồng thời chèn một cửa sổ bật lên giả mạo thông báo cập nhật phần mềm để dụ họ tải xuống BadAudio.
.jpg)
Cửa sổ bật lên giả mạo
Bắt đầu từ tháng 7/2024, APT24 nhiều lần xâm nhập vào một công ty tiếp thị kỹ thuật số tại Đài Loan, nơi cung cấp thư viện JavaScript cho các trang web của khách hàng. Với chiến thuật này, kẻ tấn công chèn mã JavaScript độc hại vào một thư viện được sử dụng rộng rãi mà công ty phân phối, cũng như đăng ký một tên miền giả mạo mạng phân phối nội dung (CDN) hợp pháp. Điều này cho phép kẻ tấn công xâm nhập hơn 1.000 tên miền.
Từ cuối năm 2024 đến tháng 7/2025, APT24 tiếp tục tấn công một công ty khác bằng cách nhúng JavaScript độc hại, được làm rối code (obfuscation) vào tệp JSON đã sửa đổi và tải bởi một tệp JavaScript riêng biệt từ cùng một nhà cung cấp.
Sau khi thực thi, nó sẽ lấy dấu vân tay của từng người dùng truy cập trang web và gửi báo cáo được mã hóa base64 đến máy chủ của kẻ tấn công, cho phép chúng quyết định xem có trả lời bằng URL giai đoạn tiếp theo hay không.
.jpg)
Tổng quan về cuộc tấn công chuỗi cung ứng
Đồng thời, kể từ tháng 8/2024, APT24 phát động các hoạt động lừa đảo qua email để phát tán phần mềm độc hại BadAudio thông qua email giả mạo các tổ chức cứu hộ động vật làm mồi nhử. Trong một số biến thể của các cuộc tấn công này, các tin tặc sử dụng các dịch vụ đám mây hợp pháp như Google Drive và OneDrive để phát tán mã độc, thay vì máy chủ riêng của chúng. Tuy nhiên, Google cho biết nhiều nỗ lực đã bị phát hiện và chuyển các tin nhắn độc hại vào hộp thư rác. Tuy nhiên, trong những trường hợp được quan sát, email có bao gồm các pixel theo dõi để xác nhận thời điểm người nhận mở email.
.jpg)
Dòng thời gian của các phương pháp tấn công APT24
Trình tải phần mềm độc hại BadAudio
Theo phân tích của GTIG, phần mềm độc hại BadAudio được che giấu rất kỹ để tránh bị phát hiện và cản trở việc phân tích của các nhà nghiên cứu bảo mật, mã độc thực hiện việc này thông qua DLL search order hijacking, cho phép tải một phần mềm độc hại bằng một ứng dụng hợp pháp.
GTIG giải thích: “Phần mềm độc hại được thiết kế với phương pháp control flow flattening - một kỹ thuật che giấu tinh vi có khả năng phá hủy một cách có hệ thống logic tự nhiên, có cấu trúc của chương trình. Phương pháp này thay thế mã tuyến tính bằng một chuỗi các block không liên quan được quản lý bởi một bộ điều phối trung tâm và một biến trạng thái, buộc các nhà phân tích phải theo dõi thủ công từng đường dẫn thực thi và cản trở đáng kể các nỗ lực thực hiện kỹ thuật dịch ngược tự động và thủ công”.
Sau khi BadAudio thực thi trên thiết bị mục tiêu, nó sẽ thu thập các thông tin hệ thống cơ bản (tên máy chủ, tên người dùng, kiến trúc), mã hóa thông tin bằng khóa AES và gửi đến địa chỉ máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công.
Tiếp theo, phần mềm độc hại tải xuống một payload được mã hóa AES từ máy chủ C2, giải mã và thực thi nó trong bộ nhớ để trốn tránh bằng cách DLL sideloading. Trong ít nhất một trường hợp, các nhà nghiên cứu của Google đã quan sát việc triển khai Cobalt Strike Beacon thông qua BadAudio, một framework kiểm tra xâm nhập bị lạm dụng rộng rãi.
Các nhà nghiên cứu nhấn mạnh rằng họ không thể xác nhận sự hiện diện của Cobalt Strike Beacon trong mọi trường hợp họ phân tích. Cần lưu ý rằng, mặc dù đã sử dụng BadAudio trong ba năm, chiến thuật của APT24 vẫn thành công trong việc giữ cho nó hầu như không bị phát hiện.
Trong số tám mẫu mà các nhà nghiên cứu GTIG cung cấp trong báo cáo, chỉ có hai mẫu bị hơn 25 công cụ diệt virus trên nền tảng quét VirusTotal đánh dấu là độc hại. Các mẫu còn lại, với ngày tạo là 7/12/2022, được phát hiện bởi tối đa năm giải pháp bảo mật.
