Китайские хакеры используют VLC Media Player для запуска загрузчика вредоносных программ

 

Исследователи безопасности обнаружили длительную вредоносную кампанию хакеров, связанных с правительством Китая, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносных программ.

Кампания, по-видимому, служит шпионским целям и нацелена на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также на неправительственные организации (НПО) по крайней мере на трех континентах.

Эта активность была приписана злоумышленнику, отслеживаемому как Cicada (также известному как menuPass, Stone Panda, Potassium, APT10, Red Apollo), который был активен более 15 лет, по крайней мере, с 2006 года.

Начало текущей кампании Cicada было отслежено до середины 2021 года, и она все еще была активной в феврале 2022 года. Исследователи говорят, что эта активность может продолжаться и сегодня.

Есть свидетельства того, что некоторый первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник воспользовался известной уязвимостью на неисправленных машинах.

Исследователи Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленник с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик.

Этот метод известен как неопубликованная загрузка DLL и широко используется злоумышленниками для загрузки вредоносных программ в законные процессы, чтобы скрыть вредоносную активность.

Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.

Многие из организаций, на которые направлена ​​эта кампания, по-видимому, связаны с правительством или НПО (занимающимися образовательной или религиозной деятельностью), а также компаниями телекоммуникационного, юридического и фармацевтического секторов.

Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, которая насчитывает жертвы в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.