جوجل تكشف عن البرمجيات الخبيثة BadAudio المستخدمة في حملات التجسس APT24

يستخدم قراصنة APT24 المرتبطون بالصين برنامجًا ضارًا غير موثق سابقًا يسمى BadAudio في حملة تجسس مدتها ثلاث سنوات تحولت مؤخرًا إلى أساليب هجوم أكثر تطوراً.

منذ عام 2022، تم تسليم البرامج الضارة إلى الضحايا من خلال طرق متعددة تشمل التصيد الاحتيالي، وتسوية سلسلة التوريد، وهجمات الحفر.

تطور الحملة

من نوفمبر 2022 حتى سبتمبر 2025 على الأقل، قامت APT24 باختراق أكثر من 20 موقعًا إلكترونيًا عامًا شرعيًا من نطاقات مختلفة لحقن تعليمات برمجية JavaScript ضارة اختارت الزوار محل الاهتمام – وكان التركيز حصريًا على أنظمة Windows.

“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>

يقول الباحثون في Google Threat Intelligence Group (GTIG) إن البرنامج النصي أخذ بصمات أصابع الزائرين المؤهلين كأهداف وقام بتحميل نافذة منبثقة مزيفة لتحديث البرنامج لإغرائهم بتنزيل BadAudio.

بدءًا من يوليو 2024، قامت APT24 باختراق شركة تسويق رقمي في تايوان عدة مرات توفر مكتبات JavaScript لمواقع العملاء الإلكترونية.

من خلال هذا التكتيك، قام المهاجمون بحقن JavaScript ضار في مكتبة مستخدمة على نطاق واسع قامت الشركة بتوزيعها، وسجلوا اسم نطاق ينتحل شخصية شبكة توصيل المحتوى الشرعية (CDN). وقد مكّن هذا المهاجم من اختراق أكثر من 1000 نطاق.

من أواخر عام 2024 حتى يوليو 2025، قامت APT24 باختراق نفس شركة التسويق بشكل متكرر عن طريق حقن JavaScript ضار ومبهم في ملف JSON معدّل، والذي تم تحميله بواسطة ملف JavaScript منفصل من نفس البائع.

بمجرد تنفيذه، أخذ بصمات أصابع كل زائر لموقع الويب وأرسل تقريرًا بتشفير Base64 إلى خادم المهاجمين، مما يسمح لهم بتحديد ما إذا كانوا سيردون باستخدام عنوان URL للمرحلة التالية.

بالتوازي، بدءًا من أغسطس 2024، أطلقت APT24 عمليات التصيد الاحتيالي التي سلمت البرامج الضارة BadAudio باستخدام رسائل البريد الإلكتروني التي تنتحل صفة منظمات إنقاذ الحيوانات كإغراءات.

وفي بعض أنواع هذه الهجمات، استخدمت APT24 خدمات سحابية شرعية مثل Google Drive وOneDrive لتوزيع البرامج الضارة، بدلاً من الخوادم الخاصة بها. ومع ذلك، تقول جوجل إنه تم اكتشاف العديد من المحاولات، وانتهى الأمر بالرسائل في صندوق البريد العشوائي.

ومع ذلك، في الحالات التي تمت ملاحظتها، تضمنت رسائل البريد الإلكتروني وحدات بكسل للتتبع لتأكيد متى فتحها المستلمون.

أداة تحميل البرامج الضارة BadAudio

وفقًا لتحليل GTIG، تم إخفاء البرمجيات الخبيثة BadAudio بشكل كبير لتفادي اكتشافها وإعاقة التحليل من قبل الباحثين الأمنيين.

إنه يحقق التنفيذ من خلال اختطاف أمر بحث DLL، وهي تقنية تسمح بتحميل حمولة ضارة بواسطة تطبيق شرعي.

“The malware is engineered with control flow flattening—a sophisticated obfuscation technique that systematically dismantles a program’s natural, structured logic,” يوضح GTIG في تقرير اليوم.

“This method replaces linear code with a series of disconnected blocks governed by a central ‘dispatcher’ and a state variable, forcing analysts to manually trace each execution path and significantly impeding both automated and manual reverse engineering efforts.”

بمجرد تنفيذ BadAudio على جهاز مستهدف، فإنه يجمع تفاصيل النظام الأساسية (اسم المضيف واسم المستخدم والهندسة المعمارية)، ويقوم بتشفير المعلومات باستخدام مفتاح AES مشفر، ويرسلها إلى عنوان قيادة وتحكم (C2) مشفر بشكل ثابت.

بعد ذلك، يقوم بتنزيل حمولة مشفرة بـ AES من C2، ويفك تشفيرها، وينفذها في الذاكرة للتهرب باستخدام التحميل الجانبي لـ DLL.

في حالة واحدة على الأقل، لاحظ باحثو جوجل نشر Cobalt Strike Beacon عبر BadAudio، وهو إطار عمل لاختبار الاختراق يُساء استخدامه على نطاق واسع.

يؤكد الباحثون أنهم لم يتمكنوا من تأكيد وجود Cobalt Strike Beacon في كل حالة قاموا بتحليلها.

تجدر الإشارة إلى أنه على الرغم من استخدام BadAudio لمدة ثلاث سنوات، إلا أن تكتيكات APT24 نجحت في إبقائها غير مكتشفة إلى حد كبير.

من بين العينات الثمانية التي قدمها باحثو GTIG في تقريرهم، تم وضع علامة على اثنتين فقط كبرامج ضارة بواسطة أكثر من 25 محركًا مضادًا للفيروسات على منصة الفحص VirusTotal. أما باقي العينات، التي يعود تاريخ إنشائها إلى 7 ديسمبر 2022، فيمكن اكتشافها بواسطة ما يصل إلى خمسة حلول أمنية.

وتقول GTIG إن تطور APT24 نحو الهجمات الأكثر سرية مدفوع بالقدرات التشغيلية لممثل التهديد وقدرته على الهجوم. “capacity for persistent and adaptive espionage.”