برمجية BadAudio الخبيثة: كشف هجوم سلسلة التوريد الخفي لمجموعة APT24

نص الظل: كيف تفادى برنامج BadAudio الخبيث رادارات الأمن العالمية

استغلت حملة تجسس إلكتروني صينية سرية برنامجاً خبيثاً جديداً متخفياً يُدعى BadAudio لاختراق الشبكات العالمية لسنوات - حتى كشفت جوجل الستار عن ذلك.

حقائق سريعة

تم استخدام BadAudio، وهو برنامج خبيث غير معروف سابقاً، من قبل مجموعة APT24 المرتبطة بالصين لمدة لا تقل عن ثلاث سنوات.
تم اختراق أكثر من 1000 موقع إلكتروني و20 نطاقاً عاماً عبر هجمات سلسلة التوريد وهجمات "حفرة الماء".
تم توزيع البرنامج الخبيث من خلال تحديثات برامج مزيفة، ورسائل تصيد موجهة، ومكتبات جافاسكريبت مخترقة.
تجنب BadAudio معظم أدوات مكافحة الفيروسات عبر تقنيات تمويه متقدمة وتنفيذ في الذاكرة فقط.
كشفت مجموعة استخبارات التهديدات في جوجل الحملة في تحليل معمق حديث.

التجسس في ظلال العالم الرقمي

تخيل أنك تدخل مكتبة ضخمة، لتكتشف أن بعض الكتب قد أُعيدت كتابتها بصمت؛ تبدو الصفحات مألوفة، لكن يداً خفية غيرت القصة. هكذا، ولمدة ثلاث سنوات، تسللت مجموعة APT24، وهي مجموعة قرصنة مرتبطة بالدولة الصينية، إلى المساحات الرقمية حول العالم - تعيد كتابة الشيفرات بدلاً من الكتب، وتترك أثراً شبه معدوم.

تكشف الحملة، التي فضحتها مجموعة استخبارات التهديدات في جوجل (GTIG)، عن براعة مرعبة في التجسس الإلكتروني. فمنذ أواخر 2022، نشرت APT24 برنامج BadAudio الخبيث، الذي كان متنكراً بشكل جيد لدرجة أنه أفلت من معظم رادارات مكافحة الفيروسات. استهدفت المجموعة مستخدمي ويندوز، عبر أفخاخ متطورة: نوافذ تحديث برامج مزيفة، ورسائل تصيد موجهة تتظاهر بأنها نداءات لإنقاذ الحيوانات، ومكتبات جافاسكريبت ملوثة تم توزيعها عبر شركة تسويق تايوانية ذات سمعة طيبة.

تخريب سلسلة التوريد وتكتيكات متطورة

تكمن براعة المهاجمين في هجماتهم على سلسلة التوريد. فمن خلال اختراق شركة توفر شيفرات جافاسكريبت لآلاف مواقع العملاء، قامت APT24 بحقن شيفرات خبيثة في صفحات شرعية. الزوار، دون علمهم، تم "بصمتهم" بهدوء - أي تم فحص تفاصيل أنظمتهم لمعرفة مدى ملاءمتهم كأهداف - قبل أن يتم تقديم التحديث الملغوم لهم. سمحت هذه الطريقة لـ APT24 بتجاوز الدفاعات التقليدية، وإصابة أكثر من ألف نطاق دفعة واحدة.

وبالتوازي، أطلقت المجموعة حملات بريد إلكتروني استخدمت بكسلات تتبع لمعرفة من فتح طُعمهم، وأحياناً استغلت خدمات سحابية موثوقة مثل Google Drive لتسليم حمولتها الخبيثة. النتيجة: عملية واسعة النطاق تتكيف مع الدفاعات الجديدة، وتستخدم كل حيلة للبقاء مخفية.

BadAudio: برنامج خبيث متخفي

في قلب المخطط كان BadAudio، الحرباء الرقمية. كان شيفرته "مموهة" بشكل كثيف - تخيل متاهة داخل متاهة - حتى أن المحللين الآليين والبشريين واجهوا صعوبة في فهمها. استخدم خدعة تُعرف باختطاف ترتيب البحث عن DLL، مما سمح لـ BadAudio بالركوب على برامج شرعية للتسلل إلى الأنظمة. وبمجرد دخوله، كان يجمع معلومات النظام بهدوء، ويشفرها، ويرسلها إلى خادم القيادة. من هناك، يمكنه تلقي تعليمات مشفرة إضافية وحتى نشر أدوات اختراق شهيرة مثل Cobalt Strike Beacon - وكل ذلك دون ترك آثار واضحة.

ورغم تعقيده، ظل BadAudio غير مكتشف إلى حد كبير لسنوات. وجدت تحليلات جوجل أن عدداً قليلاً فقط من أدوات مكافحة الفيروسات قادرة على رصده، مما يدل على إصرار المهاجمين على التعديل والتطوير المستمر.

دروس من الاختراق

قصة BadAudio تذكير صارخ: عالمنا الرقمي قوي فقط بقدر أضعف حلقاته. أصبحت هجمات سلسلة التوريد، والشيفرات المتخفية، والتكيف المستمر سمات مميزة للتجسس الحديث. ومع تطور تقنيات مجموعات مثل APT24 المدعومة من الدول، يجب على المدافعين تجاوز الواضح والتشكيك حتى في أكثر الشيفرات ألفة. لقد انتهى عصر الاكتشاف السهل؛ فالمعركة الجديدة تُخاض في الظلال، حيث قد يكون حتى تحديث البرنامج البسيط ذئباً في ثياب حمل.