複数ライセンス割引見積
脅威データベース マルウェア BADAUDIO マルウェア

BADAUDIO マルウェア

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

脅威アクターが戦術と戦略を絶えず洗練させているため、サイバーセキュリティへの警戒は依然として不可欠です。APT24として知られる中国関連のグループは、標的ネットワークへの長期的なアクセスを維持するために、これまで文書化されていなかったマルウェア「BADAUDIO」を展開しています。この活動は、約3年にわたる攻撃キャンペーンの一環であり、高度な持続的脅威(APT)が用いる高度で適応性の高い手法を浮き彫りにしています。

広範囲攻撃から標的型攻撃まで

APT24は当初、正規ウェブサイトへの感染を広範囲かつ戦略的なWeb侵害によって行っていました。しかし、時間の経過とともに、同グループはより的確な標的、特に台湾の組織へと焦点を移してきました。主な手法は以下のとおりです。

  • 地域のデジタル マーケティング会社を繰り返し侵害して悪意のあるスクリプトを配布するなどのサプライ チェーン攻撃。
  • 特定の個人または組織をターゲットにしたスピアフィッシング キャンペーン。

APT24(別名Pitty Tiger)は、これまで米国と台湾の政府機関、医療、建設・エンジニアリング、鉱業、非営利団体、通信などの分野を標的としてきました。証拠によると、このグループは少なくとも2008年から活動しており、CVE-2012-0158やCVE-2014-1761などの脆弱性を悪用する悪意のあるMicrosoft Officeドキュメントを含むフィッシングメールを利用しています。

マルウェアの武器庫:RATからBADAUDIOまで

APT24 は、幅広いマルウェア ファミリを展開しています。

  • CTラット
  • M RAT (Goldsun-B)、Enfal/Lurid Downloader の亜種
  • Gh0st RATの亜種であるPaladin RATとLeo RAT
  • タイドゥール(ルーダン)バックドア

新たに確認されたBADAUDIOは、その洗練された手口が際立っています。C++で記述され、高度に難読化されており、制御フローの平坦化によってリバースエンジニアリングを阻止します。第一段階のダウンローダーとして機能し、ハードコードされたコマンドアンドコントロール(C2)サーバーからAES暗号化ペイロードを取得、復号、実行することができます。

BADAUDIOは通常、悪意のあるDLLとして動作し、DLL Search Order Hijacking(DLL検索順序ハイジャック)を利用して正規アプリケーション経由で実行されます。最近の亜種は、DLLに加え、VBS、BAT、LNKファイルを含む暗号化されたアーカイブとして配信されます。

BADAUDIOキャンペーン:テクニックと実行

2022年11月から継続しているBADAUDIOキャンペーンは、複数の初期アクセスベクトルに依存しています。

  • 水飲み場
  • サプライチェーンの妥協
  • スピアフィッシングメール

2022年から2025年初頭にかけて、APT24は20を超える正規のウェブサイトを侵害し、次のようなJavaScriptを挿入しました。

  • macOS、iOS、Android からの訪問者を除外します。
  • FingerprintJS を使用して一意のブラウザ フィンガープリントを生成しました。
  • Google Chrome のアップデートを装い、BADAUDIO のダウンロードを促すポップアップが表示されました。

2024年7月、このグループは台湾の地域デジタルマーケティング企業を経由したサプライチェーン攻撃をエスカレートさせ、広く配布されているライブラリに悪意のあるJavaScriptを挿入しました。これにより、1,000以上のドメインが影響を受けました。

この攻撃では、タイポスクワッティングされたCDNドメインが利用され、攻撃者が制御するスクリプト、フィンガープリントマシン、偽のポップアップ広告が配信されました。2025年6月に導入された条件付きスクリプト読み込みメカニズムにより、個々のドメインを個別にターゲットとすることが可能になりましたが、8月に一時的な中断があり、制限が再導入される前に1,000ドメインすべてが侵害されました。

高度なフィッシングとソーシャルエンジニアリング

APT24は2024年8月以降、動物保護団体といった標的を狙った、高度に標的を絞ったフィッシングキャンペーンを展開しています。被害者はGoogle DriveまたはMicrosoft OneDrive経由で、BADAUDIOを含む暗号化されたアーカイブを受け取ります。アーカイブには、エンゲージメントを監視し、攻撃を最適化するためのトラッキングピクセルが含まれています。
サプライ チェーンの操作、高度なソーシャル エンジニアリング、クラウド サービスの悪用の組み合わせは、APT24 の持続的かつ適応型のスパイ活動能力を実証しています。

APT24 の活動は、国家に関連したサイバー脅威の複雑さが増していることを示しており、組織が厳格なセキュリティ監視を実施し、ソフトウェアの整合性を検証し、高度なフィッシングやサプライ チェーンのリスクについて従業員を教育する必要があることを強調しています。

トレンド

TAMECATバックドア

マルウェア, 高度な持続的脅威 (APT), バックドア
イランの国家系組織APT42に関連するスパイ活動の波が表面化しており、アナリストはイスラム革命防衛隊(IRGC)の利益に関係する個人や組織に対する集中的な攻撃を観測しています。2025年9月初旬に検知され、「SpearSpecter」というコードネームが付けられたこの攻撃は、ソーシャルエンジニアリングと、情報収集を目的としたカスタマイズされたマルウェア展開を巧みに組み合わせたものです。 拡大...

Monero-Chanエアドロップ詐欺

不正なウェブサイト
サイバー犯罪者は、疑いを持たないユーザーを搾取するために絶えず新たな手法を編み出しているため、今日のデジタル環境において警戒は極めて重要です。最も頻繁な標的の一つは暗号通貨愛好家です。彼らはデジタル資産の魅力に惹かれますが、資金を盗むための詐欺に簡単に騙されてしまう可能性があります。そのような脅威の一つが、正規の暗号通貨プロジェクトを装った詐欺ウェブサイト「Monero-Chan Airdr...

受信メッセージ一時停止詐欺

フィッシング, スパム
サイバー犯罪者はメールを使った詐欺行為を巧妙化し続けており、「受信メッセージが一時停止されました」という詐欺は、巧妙に仕組まれたスパムメールがいかにして無防備な受信者を誘い込むかを示す、またしても実例です。これらの詐欺メールは、受信トレイからメッセージが保留されていると偽り、フィッシングページに誘導しようとします。これらのメールはcPanelやその他の正当な企業、組織、サービスプロバイダーとは一切関係がないことを認識することが大切です。 緊急性を生み出すために設計された欺瞞的な警告 この詐欺メールは通常、「受信メッセージが遅延しています。ご対応ください」といった件名で届きます。メールには...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
48,494
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,512
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,036
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...