Google Threat Intelligence Group (GTIG) оприлюднила технічні деталі тривалої кібершпигунської кампанії, яку пов’язують із китайською групою APT24 (Pitty Tiger). Протягом приблизно трьох років зловмисники цілеспрямовано викрадали інтелектуальну власність у організацій США та Тайваню, застосовуючи раніше неописане шкідливе ПЗ BadAudio та комплексне поєднання веб‑атак, фішингу й компрометації ланцюга постачання.
Цілі APT24: інтелектуальна власність та стратегічні дані
За спостереженнями GTIG, група APT24 концентрується на організаціях, що володіють критично важливою технологічною та комерційною інформацією. У полі зору атакувальників — державні установи, компанії зі сфер охорони здоров’я, будівництва та інжинірингу, видобувної промисловості, телекомунікацій, а також некомерційні організації.
Ключовий мотив кампанії — довгостроковий кібершпигунство та крадіжка інтелектуальної власності, а не одноразове отримання викупу. Здебільшого це доступ до проєктної документації, результатів R&D, бізнес‑планів, даних про постачальників і партнерів, які забезпечують стратегічні конкурентні переваги на глобальному ринку.
Багаторівневі кібератаки: watering hole, ланцюг постачання та фішинг
Watering hole через скомпрометовані легітимні сайти
З листопада 2022 року до вересня 2025 року APT24 заражала понад 20 легітимних веб‑ресурсів у різних доменних зонах за схемою watering hole. Суть техніки полягає в тому, що атакувальник компрометує сайт, який активно відвідує цільова аудиторія, і використовує його як майданчик для подальшого зараження.
У код сторінок впроваджувався шкідливий JavaScript, який виконував fingerprinting систем Windows: збирав технічні параметри ОС і браузера. Якщо профіль пристрою відповідав критеріям зловмисників, користувачеві демонструвалося підроблене вікно «оновлення програмного забезпечення», натискання на яке призводило до завантаження BadAudio.
Атака на ланцюг постачання через JS‑бібліотеки
З липня 2024 року фіксується перехід APT24 до компрометації ланцюга постачання. Мішенню стала тайванська маркетингова компанія, що постачає JavaScript‑бібліотеки своїм клієнтам. В одну з популярних бібліотек було інтегровано шкідливий код, паралельно зареєстровано домен, який імітував легітимного CDN‑провайдера.
Такий підхід дав змогу зловмисникам скомпрометувати понад 1000 доменів, що підключали заражену бібліотеку. Це типовий сценарій supply chain‑атаки, подібний до інцидентів SolarWinds та CCleaner, коли злам одного платформенного компонента відкриває шлях до великої кількості організацій одночасно.
Зловживання JSON та прихований збір телеметрії
У другій хвилі, з кінця 2024 до липня 2025 року, APT24 знову атакувала ту саму тайванську компанію, але вже модифікувала JSON‑файли. Всередині них розміщувався обфусцований JavaScript, який після виконання збирав дані про відвідувачів і відправляв base64‑закодовані звіти на сервери управління.
Фішингові кампанії та зловживання хмарними сервісами
Паралельно з веб‑атаками з серпня 2024 року група запускала таргетований фішинг, маскуючись під зоозахисні організації. Така легенда підвищувала довіру адресатів і полегшувала подальшу соціальну інженерію.
У листах використовувалися пікселі відстеження, які сигналізували, хто саме відкрив повідомлення. Для транспортування даних і маскування з’єднань зловмисники активно застосовували легітимні хмарні сервіси на кшталт Google Drive та OneDrive, що значно ускладнює мережеву фільтрацію та відмежування зловмисної активності від звичайного бізнес‑трафіку.
BadAudio: обфусцований завантажувач на базі DLL sideloading
DLL search order hijacking як метод прихованого запуску
BadAudio — це сильно обфусцований loader, спеціально спроєктований для непомітного розгортання наступних шкідливих модулів. Основна техніка — DLL search order hijacking / DLL sideloading: шкідлива DLL розміщується в каталозі, звідки її автоматично підхоплює легітимний процес Windows відповідно до стандартного порядку пошуку бібліотек.
У результаті шкідливий код виконується в контексті довіреного застосунку, що дозволяє обійти частину класичних механізмів захисту та знижує імовірність спрацювання антивірусних сигнатур.
Складна обфускація та низька помітність для захисту
Код BadAudio фрагментовано на численні блоки, виконання яких координує центральний «диспетчер». Такий дизайн суттєво ускладнює як автоматизований аналіз у sandbox‑середовищах, так і ручний реверс‑інжиніринг.
Після запуску BadAudio збирає базові дані про систему (ім’я хоста, користувача, архітектуру), шифрує їх вбудованим AES‑ключем і передає на сервер керування. У відповідь завантажується зашифрована корисна нагрузка, яка після розшифрування виконується в пам’яті через DLL sideloading, майже не залишаючи слідів на диску. За даними GTIG, із восьми зразків BadAudio лише два детектуються більш ніж 25 антивірусами на VirusTotal, а деякі ранні версії бачать не більше п’яти рішень, що свідчить про високу ефективність обфускації.
Кампанія APT24 із використанням BadAudio демонструє рівень зрілості сучасних APT‑операцій: поєднання watering hole, атак на ланцюг постачання, соціальної інженерії та малопомітних завантажувачів. Організаціям, що працюють у критичних і наукоємних галузях, варто посилити контроль сторонніх JS‑бібліотек (SRI‑підписи, перевірка цілісності), обмежити DLL sideloading політиками доступу, впровадити EDR і регулярний threat hunting, а також навчати персонал розпізнаванню таргетованого фішингу й повсюдно застосовувати багатофакторну автентифікацію. Інвестиції в проактивний моніторинг значно підвищують шанси виявити подібні кібершпигунські кампанії до того, як вони призведуть до втрати критичної інтелектуальної власності.
