Loading... # APT24 组织 BadAudio 恶意软件攻击活动技术分析 # 一、新闻概述 ## 1. 标题 中国背景 APT24 组织利用 BadAudio 恶意软件入侵合法网站实施攻击 ## 2. 发布时间 2025 年 11 月 21 日 ## 3. 来源 Cyber Security News # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 与中国相关的 APT24 高级持续性威胁组织发起了为期三年的恶意软件投放活动,利用高度混淆的 BadAudio 第一阶段下载器实现对目标组织的持久化网络访问。 ### B. 核心亮点 - APT24 组织展示了从广泛的战略性 Web 入侵转向精确针对性攻击的能力 - 攻击重点转向台湾地区的实体组织 - 结合多种攻击向量:供应链入侵和定向钓鱼攻击 - 利用合法云存储平台(Google Drive、OneDrive)分发恶意载荷 ## 2. 关键信息 ### A. 涉及组织 APT24(与中国相关的网络间谍组织) ### B. 攻击工具 BadAudio:高度混淆的第一阶段下载器 ### C. 攻击时间线 - 活动持续:约三年 - BadAudio 出现:2022 年 11 月开始武器化 ### D. 目标区域 主要针对台湾地区的实体和组织 ## 3. 背景介绍 ### A. 组织历史 APT24 是已知的网络间谍组织,此前主要利用战略性 Web 入侵(Strategic Web Compromise)技术进行广泛攻击。 ### B. 攻击演变 组织近期转向多向量攻击模式,结合供应链入侵和钓鱼攻击,展示出战术升级。 # 三、详细报道 ## 1. 主要内容 ### A. 攻击方式转变 APT24 组织从广泛机会主义攻击转向更精确的针对性攻击: - 供应链入侵:针对台湾地区的数字营销公司 - 定向钓鱼:伪装成动物救援组织的邮件 - 水坑攻击:入侵超过 20 个合法网站注入恶意 JavaScript ### B. BadAudio 恶意软件特征 BadAudio 是一个用 C++ 编写的自定义第一阶段下载器,具有以下特点: - 下载、解密并执行 AES 加密的载荷 - 从硬编码的命令与控制服务器获取指令 - 收集系统信息(主机名、用户名、系统架构) - 使用 Cookie 参数加密传输数据,规避检测 ### C. 技术细节 #### 控制流平坦化混淆 BadAudio 采用了控制流平坦化(Control Flow Flattening)技术,这是一种高级混淆方法,通过系统性破坏程序的自然逻辑结构来增加逆向分析难度。 #### DLL 劫持技术 恶意软件主要以动态链接库形式存在,利用 DLL 搜索顺序劫持(Search Order Hijacking)通过合法应用程序获取执行权限。 #### 加密载荷传递 后续载荷使用硬编码的 AES 密钥解密,已被确认为 Cobalt Strike Beacon,提供完整的远程访问能力。 ## 2. 技术细节 ### A. 攻击流程 ```mermaid graph TB A[受害者访问合法网站] --> B[注入恶意JS重定向] B --> C[下载BadAudio下载器] C --> D[DLL劫持执行] D --> E[收集系统信息] E --> F[加密数据通过Cookie传输] F --> G[下载AES加密载荷] G --> H[Cobalt Strike Beacon] H --> I[建立持久化后门] ```  ### B. 战略性 Web 入侵攻击流 ```mermaid sequenceDiagram participant V as 受害者 participant CW as 合法网站 participant Att as 攻击者基础设施 participant C2 as C2服务器 V->>CW: 访问网站 CW->>Att: 恶意JS重定向 Att->>V: 返回BadAudio下载器 V->>V: DLL劫持执行 V->>C2: 发送加密信标 C2->>V: 返回加密载荷 V->>V: 解密执行Beacon ```  ### C. JavaScript 供应链攻击 ```mermaid graph LR A[数字营销公司] --> B[JS库被入侵] B --> C[恶意代码注入] C --> D[客户端访问] D --> E[重定向至攻击者] E --> F[BadAudio载荷下载] ```  ### D. 性能指标 - 攻击持续时间:三年 - 被入侵网站数量:超过 20 个合法网站 - 加密强度:AES 加密 - 检测规避:Cookie 参数加密传输 ## 3. 数据与事实 ### A. 攻击范围 - 持续时间:约三年 - 目标区域:台湾地区 - 被入侵网站:20+ 合法公共网站 ### B. 技术特点 - 编程语言:C++ - 混淆技术:控制流平坦化 - 加密算法:AES - 后门工具:Cobalt Strike Beacon ### C. 攻击载体 - 恶意 JavaScript 注入 - 加密压缩包(VBS、BAT、LNK 文件) - 合法云存储平台(Google Drive、OneDrive) # 四、影响分析 ## 1. 行业影响 ### A. 供应链安全威胁 数字营销公司成为攻击跳板,凸显供应链安全的重要性。第三方服务提供商的安全状况直接影响下游客户。 ### B. 水坑攻击趋势 合法网站被入侵用于攻击访客,水坑攻击(Watering Hole)依然是高级威胁组织的有效战术。 ### C. 检测规避升级 攻击者使用 Cookie 参数加密传输信标数据,规避传统网络检测,需要更高级的检测手段。 ## 2. 用户影响 ### A. 台湾地区组织 主要针对台湾地区的实体,包括政府和私营部门组织。 ### B. 访问被入侵网站的用户 超过 20 个合法网站被注入恶意代码,普通访客面临被植入恶意软件的风险。 ### C. 供应链下游企业 使用被入侵数字营销公司服务的多个组织同时受到影响。 ## 3. 技术趋势 ### A. 攻击战术演变 - 从广泛攻击转向精确针对性攻击 - 结合多种攻击向量提高成功率 - 利用合法平台规避检测 ### B. 恶意软件复杂化 - 控制流平坦化等高级混淆技术普及 - 多阶段载荷传递增加分析难度 - 合法工具滥用(Cobalt Strike) ### C. 防御挑战 - 传统网络检测难以识别加密信标 - 合法网站被入侵增加防御难度 - 云存储平台被滥用需要新的检测策略 # 五、防护建议 ## 1. 组织层面 ### A. 供应链安全评估 - 定期评估第三方服务提供商的安全状况 - 建立供应链安全准入标准 - 监控第三方服务的异常行为 ### B. 网站安全加固 - 定期进行漏洞扫描和安全测试 - 实施 Web 应用防火墙(WAF) - 监控网站异常 JavaScript 注入 ### C. 员工安全意识 - 开展钓鱼邮件识别培训 - 建立可疑邮件报告机制 - 强调不随意下载未知附件 ## 2. 技术层面 ### A. 端点检测 - 部署端点检测与响应(EDR)解决方案 - 监控异常 DLL 加载行为 - 检测控制流平坦化等混淆特征 ### B. 网络监控 - 实施 SSL/TLS 流量分析 - 监控异常网络连接模式 - 建立威胁情报驱动的检测规则 ### C. 横向移动防护 - 实施网络分段 - 限制管理员权限使用 - 监控异常横向移动行为 # 六、各方反应 ## 1. 研究机构 Google Cloud 安全分析师通过识别与以往 APT24 活动一致的模式,发现了 BadAudio 恶意软件,并发布了详细的技术分析报告。 ## 2. 业内评价 ### A. 专家观点 - APT24 的战术演变展示了高级威胁组织的适应能力 - 供应链入侵与定向钓鱼的结合增加了防御难度 - 控制流平坦化等混淆技术的使用需要更先进的分析工具 ### B. 技术社区 - 强调需要加强供应链安全管理 - 呼吁改进网络流量分析能力 - 建议部署更高级的端点检测解决方案 # 七、相关链接 ## 1. 官方报告 - Google Cloud 威胁情报报告:APT24 Multi-Vector Attacks ## 2. 相关报道 - Cyber Security News 原文报道 - APT24 组织历史活动分析 ## 3. 技术文档 - Cobalt Strike Beacon 技术分析 - 控制流平坦化混淆技术解析 *** ## 参考资料 1. [China-linked APT24 Hackers New BadAudio Compromised Legitimate Public Websites to Attack Users](https://cybersecuritynews.com/china-linked-apt24-hackers-new-badaudio-compromised/) 2. [APT24 Pivot to Multi-Vector Attacks - Google Cloud](https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks/) 最后修改:2026 年 01 月 20 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏