TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 / 攻撃技術 に関する「個人」の調査・研究

トップ > 攻撃組織: APT24 / Temp.Pittytiger > Chinese Cyberspies Deploy ‘BadAudio’ Malware via Supply Chain Attacks

Chinese Cyberspies Deploy ‘BadAudio’ Malware via Supply Chain Attacks

攻撃組織: APT24 / Temp.Pittytiger Malware: BadAudio

【訳】

中国のサイバースパイがサプライチェーン攻撃で「BadAudio」マルウェアを展開


【要点】

◎APT24がBadAudioを核に台湾組織へ長期スパイ攻撃を実施。侵害したマーケ企業経由のサプライチェーン攻撃で1,000超ドメインを悪用し、DLLハイジャックやCobalt Strikeなど多段テクニックを展開する高度な中国系諜報キャンペーン。


【要約】

APT24(Pitty Tiger)は少なくとも3年間、台湾を中心に広範なスパイ活動を展開し、C++製ダウンローダー「BadAudio」を用いてペイロードを取得・復号・実行していた。初期はウェブ改ざんによるウォーターホール攻撃を多用していたが、近年は台湾のデジタルマーケ企業を繰り返し侵害し、同社が配布するJSライブラリへ悪意コードを注入するサプライチェーン攻撃へと高度化。これにより1,000超のドメインが悪用された。さらに、VBS/BAT/LNKを組み合わせた自動化された実行チェーン、DLL検索順序ハイジャック、Cobalt Strike展開、クラウドストレージ利用、追跡ピクセル付きフィッシングなど複数手法を併用し、精度の高い標的判定と永続化を実現。GTIGは、中国系APTの高度かつ長期的な情報収集能力を示す典型例と評価している。


【ニュース】

◆Chinese Cyberspies Deploy ‘BadAudio’ Malware via Supply Chain Attacks (SecurityWeek, 2025/11/21 06:36)
[中国のサイバースパイがサプライチェーン攻撃で「BadAudio」マルウェアを展開]

APT24 has been relying on various techniques to drop the BadAudio downloader and then deploy additional payloads.
[APT24は様々な手法を用いてBadAudioダウンローダーを配置し、その後追加のペイロードを展開している。]

https://www.securityweek.com/chinese-cyberspies-deploy-badaudio-malware-via-supply-chain-attacks/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023