Group IB

Китайские хакеры используют VLC Media Player для запуска вредоносного ПО

07.04.2022
Китайские хакеры используют VLC Media Player для запуска вредоносного ПО

ИБ-исследователи из компании Symantec обнаружили вредоносную кампанию китайских хакеров, которые используют VLC Media Player для запуска кастомного загрузчика малвари в системах жертв, сообщает Хакер.

Эксперты пишут, что обнаруженная активность, очевидно, связана с хак-группой Cicada (она же menuPass, Stone Panda, Potassium, APT10, Red Apollo), известной специалистами уже более 15 лет, с 2006 года. Эта группировка обычно занимается шпионажем, атакуя на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также некоммерческие организации как минимум на трех континентах.

Текущая кампания Cicada берет начало в 2021 году, и подчеркивается, что в феврале 2022 года она по-прежнему была активна.

По данным Symantec, первоначальный доступ к некоторым из взломанных сетей хакеры получили посредством Microsoft Exchange, а это указывает на то, что злоумышленники использовали некую известную уязвимость.

Однако внимание экспертов привлекло то, что происходило после получения доступа к целевой машине: злоумышленники эксплуатировали популярный медиаплеер VLC, чтобы развернуть в скомпрометированных системах кастомный загрузчик.

Аналитики рассказали, что злоумышленники используют чистую версию VLC Media Player с вредоносным файлом DLL, расположенным на том же пути, что и функции экспорта медиаплеера. Этот метод известен как «side-loading» и широко применяется хакерами для загрузки малвари в легитимные процессы, чтобы скрыть вредоносную активность.

Помимо упомянутого загрузчика, у которого нет собственного названия, хотя он использовался и в предыдущих атаках Cicada, злоумышленники также разворачивали в скомпрометированных системах сервер WinVNC для получения удаленного контроля над машинами жертв.

Кроме того, хакеры применяли бэкдор Sodamaster— инструмент, который используется только Cicada как минимум с 2020 года. Sodamaster работает в системной памяти, тем самым избегая обнаружения, и ищет в реестре следы песочницы или задерживает ее выполнение. Также малварь способна собирать сведения о системе, искать запущенные процессы, загружать и выполнять различные пейлоды с управляющего сервера.

Многие из организаций, на которые направлена ​​эта кампания, связаны с правительством или являются некоммерческими организациями, занимаясь образовательной или религиозной деятельностью. Также жертвами становились компаниями из телекоммуникационного, юридического и фармацевтического секторов.

Исследователи подчеркивают широкую географию этой кампании Cicada, которая охватывает США, Канаду, Гонконг, Турцию, Израиль, Индию, Черногорию и Италию. Следует отметить, что среди пострадавших есть всего одна жертва из Японии, хотя страна уже много лет находится в центре внимания Cicada.

По сравнению с предыдущими атаками группы, которые в основном были сосредоточены на компаниях, связанных с Японией, на этот раз злоумышленники существенно расширили круг своих интересов.