AppsecZone

Китайские хакеры используют VLC Media Player для запуска вредоносного ПО

Китайские хакеры используют VLC Media Player для запуска вредоносного ПО Китайские хакеры используют VLC Media Player для запуска вредоносного ПО Китайские хакеры используют VLC Media Player для запуска вредоносного ПО
07.04.2022

ИБ-исследователи из компании Symantec обнаружили вредоносную кампанию китайских хакеров, которые используют VLC Media Player для запуска кастомного загрузчика малвари в системах жертв, сообщает Хакер.

Эксперты пишут, что обнаруженная активность, очевидно, связана с хак-группой Cicada (она же menuPass, Stone Panda, Potassium, APT10, Red Apollo), известной специалистами уже более 15 лет, с 2006 года. Эта группировка обычно занимается шпионажем, атакуя на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также некоммерческие организации как минимум на трех континентах.

Текущая кампания Cicada берет начало в 2021 году, и подчеркивается, что в феврале 2022 года она по-прежнему была активна.

По данным Symantec, первоначальный доступ к некоторым из взломанных сетей хакеры получили посредством Microsoft Exchange, а это указывает на то, что злоумышленники использовали некую известную уязвимость.

Однако внимание экспертов привлекло то, что происходило после получения доступа к целевой машине: злоумышленники эксплуатировали популярный медиаплеер VLC, чтобы развернуть в скомпрометированных системах кастомный загрузчик.

Аналитики рассказали, что злоумышленники используют чистую версию VLC Media Player с вредоносным файлом DLL, расположенным на том же пути, что и функции экспорта медиаплеера. Этот метод известен как «side-loading» и широко применяется хакерами для загрузки малвари в легитимные процессы, чтобы скрыть вредоносную активность.

Помимо упомянутого загрузчика, у которого нет собственного названия, хотя он использовался и в предыдущих атаках Cicada, злоумышленники также разворачивали в скомпрометированных системах сервер WinVNC для получения удаленного контроля над машинами жертв.

Кроме того, хакеры применяли бэкдор Sodamaster— инструмент, который используется только Cicada как минимум с 2020 года. Sodamaster работает в системной памяти, тем самым избегая обнаружения, и ищет в реестре следы песочницы или задерживает ее выполнение. Также малварь способна собирать сведения о системе, искать запущенные процессы, загружать и выполнять различные пейлоды с управляющего сервера.

Многие из организаций, на которые направлена ​​эта кампания, связаны с правительством или являются некоммерческими организациями, занимаясь образовательной или религиозной деятельностью. Также жертвами становились компаниями из телекоммуникационного, юридического и фармацевтического секторов.

Исследователи подчеркивают широкую географию этой кампании Cicada, которая охватывает США, Канаду, Гонконг, Турцию, Израиль, Индию, Черногорию и Италию. Следует отметить, что среди пострадавших есть всего одна жертва из Японии, хотя страна уже много лет находится в центре внимания Cicada.

По сравнению с предыдущими атаками группы, которые в основном были сосредоточены на компаниях, связанных с Японией, на этот раз злоумышленники существенно расширили круг своих интересов.


Комментарии 0


Назад