Κινέζοι χάκερς κάνουν κατάχρηση του VLC Media Player, για να διασπείρουν malware loader

[nnn]

Ερευνητές ασφαλείας έχουν αποκαλύψει μια μακροχρόνια κακόβουλη εκστρατεία από χάκερς που σχετίζονται με την κινεζική κυβέρνηση, οι οποίοι χρησιμοποιούν το VLC Media Player για να μεταφορτώσουν έναν custom malware loader. Η εκστρατεία φαίνεται να εξυπηρετεί σκοπούς κατασκοπείας και έχει στοχεύσει διάφορες οντότητες που εμπλέκονται σε κυβερνητικές, νομικές και θρησκευτικές δραστηριότητες, καθώς και μη κυβερνητικές οργανώσεις (ΜΚΟ) σε τουλάχιστον τρεις ηπείρους.

Η δραστηριότητα αυτή αποδίδεται σε έναν φορέα απειλής που εντοπίζεται ως Cicada (γνωστός και ως menuPass, Stone Panda, Potassium, APT10, Red Apollo), ο οποίος δραστηριοποιείται για περισσότερα από 15 χρόνια, τουλάχιστον από το 2006.

Η έναρξη της τρέχουσας εκστρατείας του Cicada έχει εντοπιστεί στα μέσα του 2021 και εξακολουθούσε να είναι ενεργή τον Φεβρουάριο του 2022. Οι ερευνητές λένε ότι η δραστηριότητα αυτή μπορεί να συνεχιστεί και σήμερα.

Υπάρχουν ενδείξεις ότι κάποια αρχική πρόσβαση σε ορισμένα από τα παραβιασμένα δίκτυα έγινε μέσω ενός διακομιστή Microsoft Exchange, γεγονός που υποδεικνύει ότι ο δράστης εκμεταλλεύτηκε μια γνωστή ευπάθεια σε μη ενημερωμένα μηχανήματα.

Οι ερευνητές της Symantec, ενός τμήματος της Broadcom, διαπίστωσαν ότι αφού απέκτησε πρόσβαση στο μηχάνημα-στόχο, ο επιτιθέμενος ανέπτυξε έναν προσαρμοσμένο φορτωτή στα παραβιασμένα συστήματα με τη βοήθεια του δημοφιλούς προγράμματος αναπαραγωγής πολυμέσων VLC.

Η Brigid O Gorman της ομάδας Symantec Threat Hunter Team δήλωσε στο BleepingComputer ότι ο εισβολέας χρησιμοποιεί μια καθαρή έκδοση του VLC με ένα κακόβουλο αρχείο DLL στην ίδια διαδρομή με τις λειτουργίες εξαγωγής του media player.

Η τεχνική αυτή είναι γνωστή ως DLL side-loading και χρησιμοποιείται ευρέως από τους φορείς απειλών για να φορτώνουν κακόβουλο λογισμικό σε νόμιμες διεργασίες για να κρύψουν την κακόβουλη δραστηριότητα.

Εκτός από τον προσαρμοσμένο φορτωτή, για τον οποίο ο O Gorman δήλωσε ότι η Symantec δεν έχει όνομα, αλλά έχει παρατηρηθεί σε προηγούμενες επιθέσεις που αποδίδονται στο Cicada/APT10, ο αντίπαλος χρησιμοποίησε επίσης έναν διακομιστή WinVNC για να αποκτήσει απομακρυσμένο έλεγχο στα συστήματα των θυμάτων.

Ο επιτιθέμενος εκτέλεσε επίσης το Sodamaster backdoor σε παραβιασμένα δίκτυα, ένα εργαλείο που πιστεύεται ότι χρησιμοποιείται αποκλειστικά από την ομάδα απειλών Cicada τουλάχιστον από το 2020.

Το Sodamaster εκτελείται στη μνήμη του συστήματος (χωρίς αρχεία) και είναι εξοπλισμένο για να αποφεύγει την ανίχνευση αναζητώντας στο μητρώο για ενδείξεις ενός περιβάλλοντος sandbox ή καθυστερώντας την εκτέλεσή του.

Το κακόβουλο λογισμικό μπορεί επίσης να συλλέγει λεπτομέρειες σχετικά με το σύστημα, να αναζητά διεργασίες που εκτελούνται και να κατεβάζει και να εκτελεί διάφορα ωφέλιμα φορτία από τον διακομιστή εντολών και ελέγχου.

Σε αυτή την εκστρατεία έχουν παρατηρηθεί και διάφορα άλλα βοηθητικά προγράμματα, μεταξύ των οποίων:

Εργαλείο αρχειοθέτησης RAR - βοηθάει στη συμπίεση, κρυπτογράφηση ή αρχειοθέτηση αρχείων, πιθανότατα για εξαπόλυση
Ανακάλυψη συστήματος/δικτύου - ένας τρόπος για τους επιτιθέμενους να μάθουν για τα συστήματα ή τις υπηρεσίες που είναι συνδεδεμένες σε ένα μολυσμένο μηχάνημα
WMIExec - εργαλείο γραμμής εντολών της Microsoft που μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών σε απομακρυσμένους υπολογιστές
NBTScan - ένα εργαλείο ανοικτού κώδικα που έχει παρατηρηθεί ότι χρησιμοποιείται από ομάδες APT για αναγνώριση σε ένα παραβιασμένο δίκτυο
Ο χρόνος παραμονής των επιτιθέμενων στα δίκτυα ορισμένων από τα θύματα που ανακαλύφθηκαν διήρκεσε έως και εννέα μήνες, σημειώνουν οι ερευνητές σε σημερινή τους έκθεση.

Ευρύτερη εστίαση
Πολλοί από τους οργανισμούς που αποτέλεσαν στόχο αυτής της εκστρατείας φαίνεται να είναι κυβερνητικοί ή ΜΚΟ (που ασχολούνται με εκπαιδευτικές ή θρησκευτικές δραστηριότητες), καθώς και εταιρείες του τομέα των τηλεπικοινωνιών, του νομικού και του φαρμακευτικού τομέα.

Οι ερευνητές της Symantec υπογραμμίζουν την ευρεία γεωγραφία αυτής της εκστρατείας του Cicada, η οποία μετρά θύματα στις ΗΠΑ, τον Καναδά, το Χονγκ Κονγκ, την Τουρκία, το Ισραήλ, την Ινδία, το Μαυροβούνιο και την Ιταλία.

Να σημειωθεί ότι μόνο ένα θύμα είναι από την Ιαπωνία, μια χώρα που βρίσκεται στο επίκεντρο της ομάδας Cicada εδώ και πολλά χρόνια.

Σε σύγκριση με την προηγούμενη στόχευση από αυτή την ομάδα, η οποία επικεντρωνόταν σε εταιρείες που συνδέονται με την Ιαπωνία, τα θύματα αυτής της εκστρατείας δείχνουν ότι ο φορέας απειλών έχει διευρύνει το ενδιαφέρον του.

Αν και επικεντρώθηκε σε εταιρείες που συνδέονται με την Ιαπωνία, η Cicada έχει στοχοθετήσει στο παρελθόν τους τομείς της υγειονομικής περίθαλψης, της άμυνας, της αεροδιαστημικής, της χρηματοδότησης, της ναυτιλίας, της βιοτεχνολογίας, της ενέργειας και της κυβέρνησης.

Τουλάχιστον δύο μέλη της ομάδας απειλών APT10 έχουν κατηγορηθεί στις ΗΠΑ για δραστηριότητα παραβίασης υπολογιστών με σκοπό να βοηθήσουν το Γραφείο Κρατικής Ασφάλειας Tianjin του κινεζικού Υπουργείου Κρατικής Ασφάλειας (MSS) να αποκτήσει πνευματική ιδιοκτησία και εμπιστευτικές επιχειρηματικές πληροφορίες από παρόχους διαχειριζόμενων υπηρεσιών, κυβερνητικές υπηρεσίες των ΗΠΑ και περισσότερες από 45 εταιρείες τεχνολογίας.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Bleeping Computer

[Iris07]

Τον χρησιμοποιώ χρόνια τον VLC..
αλλά τελευταία έχω δει ότι κάποια αρχεία δεν μου τα παίζει σωστά..

Και νομίζω ότι δεν βγάζουν πλέον πολλά update του..

Ανακάλυψα έναν κλώνο του, τον PotPlayer, και δείχνει να είναι πολύ καλός, και να ενημερώνεται καλά..
http://potplayer.tv/

[mkl]

SM Player παίζει τα πάντα , βασίζεται στον mplayer

https://www.smplayer.info/

[Gentoo]

Τον χρησιμοποιώ χρόνια τον VLC..
αλλά τελευταία έχω δει ότι κάποια αρχεία δεν μου τα παίζει σωστά..

Και νομίζω ότι δεν βγάζουν πλέον πολλά update του..

Ανακάλυψα έναν κλώνο του, τον PotPlayer, και δείχνει να είναι πολύ καλός, και να ενημερώνεται καλά..
http://potplayer.tv/

SM Player παίζει τα πάντα , βασίζεται στον mplayer

https://www.smplayer.info/

Δεν νομίζω πως καταλάβατε το άρθρο.

Δεν έχει πρόβλημα ο VLC, ούτε περιλαμβάνει malware, ούτε είναι outdated.

Απλώς χρησιμοποιούν κάποιοι τον VLC με κακόβουλο τρόπο για να εκτελέσουν δικό τους κώδικα, σε συστήματα μη ενημερωμένα.

Προφανώς και δεν μπορεί κανείς να σου κάνει κάτι, αν κατεβάσεις τον VLC από καθαρή πηγή, σε ενημερωμένο σύστημα.

[Iris07]

Καλά, εγώ σχολίασα τι βλέπω με τον VLC τελευταία.

Ένα πρόγραμμα που δεν ενημερώνεται συχνά δεν είναι καλό..
ακόμη και bugs και άλλες τρύπες..

[Gentoo]

Καλά, εγώ σχολίασα τι βλέπω με τον VLC τελευταία.

Α οκ. Απλώς μου φάνηκε σαν να θεωρείτε πως είναι malware, γι'αυτό

Ένα πρόγραμμα που δεν ενημερώνεται συχνά δεν είναι καλό..
ακόμη και bugs και άλλες τρύπες..

Σίγουρα χρειάζεται συχνά updates ένα app, δεν τίθεται θέμα ως προς αυτό.

Open source εφαρμογή είναι, δεν έχει weekly updates, αλλά δεν είναι και παρατημένο σαν project.

Σίγουρα υπάρχουν αξιόλογες εναλλακτικές.

[JpegXguy]

Εγλω χρησιμοποιώ mpv και στα Windows και στα Linux, και είναι ότι καλύτερο

[K1m0n]

Βιoμηχανική κατασκοπεία, μάιστα.
Το dll sideload bug έχει μπαλωθεί στο vlc χρόνια τώρα,
και εχρησιμοποιείτο για paylod delivery εδώ και >4 χρόνια.
Οπόταν οι πιθανοί στόχοι = βιομηχανικοί/κρατικοί && που δεν ελέγχουν τι τρέχει στους hosts && δεν είναι up-to-date && δεν φιλτράρουν το web.
Κοτζάμ cicada, μπορούν και καλύτερα.

[deniSun]

Δεν μπόρεσα να χρησιμοποιήσω ποτέ τον vlc.
Πάντα προβλήματα.
+ άθλιο interface
Δεν έχω βρει τίποτε καλύτερο σε ποιότητα από Mpc + madvr.
Εδώ και μερικά χρόνια χρησιμοποιώ τον mpc-be.

[Zer0c00L]

εγώ εδώ και πάρα πολύ καιρό χρησιμοποιώ το K-Lite Codec Pack και έχω ησυχάσει τα παίζει όλα παντού.

[jim_p]

Οι εχοντες vlc σε windows, σε ποια εκδοση ειστε και πως τον ενημερωνετε? Ειμαι σε 3.0.16 απο περυσι τον Ιουνιο που βγηκε και οταν ψαχνει για ενημερωσεις λεει οτι δεν υπαρχει κατι νεοτερο. Βγηκε η 3.0.17 πριν 1 μηνα και λιγες μερες αργοτερα ενα minor release που την πηγε σε 3.0.17.3, αλλα αυτα δεν τα βρισκει. Για την ακριβεια, δεν εχουν καν ανακοινωσει την 3.0.17.

Χρησιμοποιω vlc σαν τριτο player στα windows επειδη ειναι ο μονος απο τους 3 που εχω (smplayer, mpvnet και vlc) που υποστηριζει αναπαραγωγη μεσω dlna.

[aiolos.01]

MPC-HC παίζει τα πάντα (λόγω Lav-filters) και είναι και οικονομικός (σε μέγεθος).

[Iris07]

Οι εχοντες vlc σε windows, σε ποια εκδοση ειστε και πως τον ενημερωνετε? Ειμαι σε 3.0.16 απο περυσι τον Ιουνιο που βγηκε και οταν ψαχνει για ενημερωσεις λεει οτι δεν υπαρχει κατι νεοτερο. Βγηκε η 3.0.17 πριν 1 μηνα και λιγες μερες αργοτερα ενα minor release που την πηγε σε 3.0.17.3, αλλα αυτα δεν τα βρισκει. Για την ακριβεια, δεν εχουν καν ανακοινωσει την 3.0.17.

Χρησιμοποιω vlc σαν τριτο player στα windows επειδη ειναι ο μονος απο τους 3 που εχω (smplayer, mpvnet και vlc) που υποστηριζει αναπαραγωγη μεσω dlna.

Ναι, και εγώ σε 3.0.16 είμαι..

Κανονικά πηγαίνω στο μενού Help & Check for Updates..
Ναι, στο site ακόμη την 3.0.16 έχουν για D/L βλέπω και εγώ..
https://www.videolan.org/vlc/download-windows.html

[giorgosts]

MPC-HC παίζει τα πάντα (λόγω Lav-filters) και είναι και οικονομικός (σε μέγεθος).

Παίζει λίστες iptv; Παίζει dlna από το τοπικό δίκτυο;

[Wonderland]

Ένα πρόγραμμα που δεν ενημερώνεται συχνά δεν είναι καλό..
ακόμη και bugs και άλλες τρύπες..

Μάλλον δεν σκέφτηκες το ενδεχόμενο το κάθε ένα από τα συχνά updates να ανοίγει νέες τρύπες.