Chińscy hakerzy używają odtwarzacza multimedialnego VLC do przeprowadzania cyberataków.
Badacze odkryli, że chińscy hakerzy wykorzystują VLC Media Player do przeprowadzania ataków na cyberbezpieczeństwo.
Grupa hakerów, rzekomo powiązana z chińskim rządem, wykorzystuje popularny odtwarzacz wideo do instalowania złośliwego oprogramowania na zaatakowanym komputerze.
Magazyn zdjęć/Getty ImagesDziałania te zostały wyśledzone przez grupę hakerów o nazwie Cicada, która jest również znana z długiej listy innych nazw, takich jak menuPass, Stone Panda, APT10, Potassium i Red Apollo. Cykada istnieje od dawna — przynajmniej od 2006 roku. Szkodliwe oprogramowanie zaatakowane otwiera hakerom drzwi do uzyskania wszelkiego rodzaju informacji. Może udzielić wiedzy na temat wszystkiego o systemie, przeszukiwać działające procesy i pobierać pliki na polecenie, tylko zwiększając ryzyko nadużyć. Takie ataki z ukrycia nie są rzadkością , ale wydaje się, że ten miał miejsce na dużą skalę.
Wygląda na to, że ta kampania, z udziałem popularnego VLC Media Player, została rozpoczęta w celach szpiegowskich. Według raportu Bleeping Computer, cele obejmują szeroki zakres podmiotów zaangażowanych w działalność prawną, rządową lub religijną. Celem ataków były również organizacje pozarządowe. Być może bardziej zdumiewające jest to, że ta działalność rozprzestrzeniła się na istoty na co najmniej trzech kontynentach.
Niektóre z krajów docelowych to Stany Zjednoczone, Hongkong, Indie, Włochy i Kanada. Co zaskakujące, tylko jedna ofiara pochodziła z Japonii. Grupa Cykada w przeszłości wielokrotnie atakowała Japonię za swoje cyberataki. Gdy atakujący uzyskali dostęp do maszyny ofiary, byli w stanie utrzymać ją do dziewięciu miesięcy.
Chociaż VLC został wykorzystany do wdrożenia złośliwego oprogramowania, sam plik był czysty. Wygląda na to, że bezpieczna wersja VLC została połączona ze złośliwym plikiem DLL znajdującym się w tym miejscu jako funkcje eksportu odtwarzacza multimedialnego. Jest to określane jako ładowanie boczne DLL, a Cicada nie jest jedyną która wykorzystuje tę technikę do przesyłania złośliwego oprogramowania do programów, które w inny sposób są bezpieczne.
Niestandardowy program ładujący używany przez Cicadę był najwyraźniej widziany w poprzednich atakach, które również były powiązane z zespołem hakerów. Aby najpierw uzyskać dostęp do sieci, które zostały naruszone, wykorzystano serwer Microsoft Exchange. Dodatkowo, serwer WinVNC został wdrożony jako środek do ustanowienia zdalnej kontroli nad systemami dotkniętymi ukrytym złośliwym oprogramowaniem.
Exploit VLC to coś więcej, niż na pierwszy rzut oka. Ponadto wykorzystano exploita o nazwie Sodamaster, który działa potajemnie w pamięci systemowej i nie wymaga żadnych plików. Jest w stanie uniknąć wykrycia i może opóźnić wykonanie przy starcie.
Chociaż te ataki są z pewnością niebezpieczne, nie każdy użytkownik VLC musi się martwić. Sam odtwarzacz multimedialny okazał się być czysty, a hakerzy wydają się mieć bardzo ukierunkowane podejście, skoncentrowane na określonych podmiotach. Jednak zawsze ważne jest, aby zachować najwyższy poziom bezpieczeństwa w przypadku komputerów PC.
Informacje pochodzą z firmy Symantec i zostały zgłoszone przez Bleeping Computer . Badacze firmy Symantec odkryli, że te ataki cyberbezpieczeństwa mogły rozpocząć się w połowie 2021 r. i miały miejsce w lutym 2022 r. Jednak jest całkowicie możliwe, że zagrożenie to trwa do dziś.
digitaltrends
Badacze odkryli, że chińscy hakerzy wykorzystują VLC Media Player do przeprowadzania ataków na cyberbezpieczeństwo.
Grupa hakerów, rzekomo powiązana z chińskim rządem, wykorzystuje popularny odtwarzacz wideo do instalowania złośliwego oprogramowania na zaatakowanym komputerze.
Wygląda na to, że ta kampania, z udziałem popularnego VLC Media Player, została rozpoczęta w celach szpiegowskich. Według raportu Bleeping Computer, cele obejmują szeroki zakres podmiotów zaangażowanych w działalność prawną, rządową lub religijną. Celem ataków były również organizacje pozarządowe. Być może bardziej zdumiewające jest to, że ta działalność rozprzestrzeniła się na istoty na co najmniej trzech kontynentach.
Niektóre z krajów docelowych to Stany Zjednoczone, Hongkong, Indie, Włochy i Kanada. Co zaskakujące, tylko jedna ofiara pochodziła z Japonii. Grupa Cykada w przeszłości wielokrotnie atakowała Japonię za swoje cyberataki. Gdy atakujący uzyskali dostęp do maszyny ofiary, byli w stanie utrzymać ją do dziewięciu miesięcy.
Niestandardowy program ładujący używany przez Cicadę był najwyraźniej widziany w poprzednich atakach, które również były powiązane z zespołem hakerów. Aby najpierw uzyskać dostęp do sieci, które zostały naruszone, wykorzystano serwer Microsoft Exchange. Dodatkowo, serwer WinVNC został wdrożony jako środek do ustanowienia zdalnej kontroli nad systemami dotkniętymi ukrytym złośliwym oprogramowaniem.
Exploit VLC to coś więcej, niż na pierwszy rzut oka. Ponadto wykorzystano exploita o nazwie Sodamaster, który działa potajemnie w pamięci systemowej i nie wymaga żadnych plików. Jest w stanie uniknąć wykrycia i może opóźnić wykonanie przy starcie.
Chociaż te ataki są z pewnością niebezpieczne, nie każdy użytkownik VLC musi się martwić. Sam odtwarzacz multimedialny okazał się być czysty, a hakerzy wydają się mieć bardzo ukierunkowane podejście, skoncentrowane na określonych podmiotach. Jednak zawsze ważne jest, aby zachować najwyższy poziom bezpieczeństwa w przypadku komputerów PC.
Informacje pochodzą z firmy Symantec i zostały zgłoszone przez Bleeping Computer . Badacze firmy Symantec odkryli, że te ataki cyberbezpieczeństwa mogły rozpocząć się w połowie 2021 r. i miały miejsce w lutym 2022 r. Jednak jest całkowicie możliwe, że zagrożenie to trwa do dziś.
digitaltrends