はじめに – APT24による長期的なスパイ活動
Google Threat Intelligence Group(GTIG)は、中国関連のハッカーグループAPT24が、これまで文書化されていなかったマルウェア「BadAudio」を3年間にわたるスパイ活動で使用していたことを明らかにしました。このキャンペーンは最近、より高度な攻撃手法に切り替わっており、2022年以降、スピアフィッシング、サプライチェーン侵害、水飲み場型攻撃など、複数の方法で被害者にマルウェアが配信されてきました。
進化する攻撃手法
2022年11月から2025年9月にかけて、APT24は様々なドメインの20以上の正規の公開ウェブサイトを侵害し、悪意のあるJavaScriptコードを注入しました。このコードは特定の訪問者を標的とし、Windowsシステムに限定して動作しました。GTIGの研究者によると、スクリプトは標的となる訪問者をフィンガープリントし、偽のソフトウェアアップデートポップアップを表示して、彼らをBadAudioのダウンロードに誘い込みました。
2024年7月以降、APT24は台湾のデジタルマーケティング会社を複数回侵害しました。同社がクライアントウェブサイトに提供する広く使用されているJavaScriptライブラリに悪意のあるJavaScriptを注入し、さらに、正規のコンテンツデリバリーネットワーク(CDN)を装ったドメイン名を登録することで、1,000以上のドメインを侵害することに成功しました。
2024年後半から2025年7月まで、APT24は同じマーケティング会社を繰り返し侵害し、改変されたJSONファイルに難読化された悪意のあるJavaScriptを注入しました。これは、同じベンダーの別のJavaScriptファイルによってロードされました。実行後、各ウェブサイト訪問者をフィンガープリントし、Base64エンコードされたレポートを攻撃者のサーバーに送信し、次のステージのURLを返すかどうかを決定しました。
2024年8月からは、動物保護団体を装ったメールを囮に、BadAudioマルウェアを配信するスピアフィッシング作戦も展開されました。一部の攻撃では、Google DriveやOneDriveなどの正規のクラウドサービスがマルウェア配布に利用されました。
BadAudioマルウェアの詳細
GTIGの分析によると、BadAudioマルウェアは検出を回避し、セキュリティ研究者による分析を妨げるために高度に難読化されています。
実行はDLL検索順序ハイジャックという手法を通じて行われます。これは、正規のアプリケーションによって悪意のあるペイロードがロードされることを可能にする技術です。
GTIGはレポートで、「マルウェアは制御フロー平坦化という高度な難読化技術で設計されています。これは、プログラムの自然で構造化されたロジックを体系的に解体するものです。この手法は、線形コードを一連の切断されたブロックに置き換え、中央の『ディスパッチャ』と状態変数によって制御されます。これにより、アナリストは各実行パスを手動でトレースする必要があり、自動および手動のリバースエンジニアリング作業が大幅に妨げられます。」と説明しています。
BadAudioが標的デバイスで実行されると、基本的なシステム情報(ホスト名、ユーザー名、アーキテクチャ)を収集し、ハードコードされたAESキーを使用して情報を暗号化し、ハードコードされたコマンド&コントロール(C2)アドレスに送信します。次に、C2からAES暗号化されたペイロードをダウンロードし、復号化し、DLLサイドローディングを使用してメモリ内で実行します。これにより、検出を回避します。
少なくとも1つのケースでは、Googleの研究者は、広く悪用されているペネトレーションテストフレームワークであるCobalt Strike BeaconがBadAudioを介して展開されたことを確認しました。
検出状況とAPT24の適応性
APT24がBadAudioを3年間使用しているにもかかわらず、その戦術はほとんど検出されないままでした。GTIGの研究者が提供した8つのサンプルの中で、VirusTotalで25以上のアンチウイルスエンジンによって悪意があるとフラグ付けされたのは2つだけでした。2022年12月7日に作成された残りのサンプルは、最大5つのセキュリティソリューションによって検出されるに過ぎませんでした。
GTIGは、APT24がよりステルス性の高い攻撃へと進化しているのは、脅威アクターの運用能力と、「執拗かつ適応性の高いスパイ活動」を行う能力によって推進されていると述べています。