Исследователи безопасности обнаружили длительную вредоносную кампанию хакеров, связанных с правительством Китая, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносных программ.
Кампания, по-видимому, служит шпионским целям и нацелена на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также на неправительственные организации (НПО) по крайней мере на трех континентах.
Эта активность была приписана злоумышленнику, отслеживаемому как Cicada (также известному как menuPass, Stone Panda, Potassium, APT10, Red Apollo), который был активен более 15 лет, по крайней мере, с 2006 года.
Начало текущей кампании Cicada было отслежено до середины 2021 года, и она все еще была активной в феврале 2022 года. Исследователи говорят, что эта активность может продолжаться и сегодня.
Есть свидетельства того, что некоторый первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник воспользовался известной уязвимостью на неисправленных машинах.
Исследователи Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленник с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик.
Бриджит О Горман из Symantec Threat Hunter Team сообщила BleepingComputer, что злоумышленник использует чистую версию VLC с вредоносным файлом DLL по тому же пути, что и функции экспорта медиаплеера.
Этот метод известен как неопубликованная загрузка DLL и широко используется злоумышленниками для загрузки вредоносных программ в законные процессы, чтобы скрыть вредоносную активность.
Помимо пользовательского загрузчика, у которого, по словам Горман, у Symantec нет названия, но он был замечен в предыдущих атаках, приписываемых Cicada/APT10, злоумышленник также развернул сервер WinVNC для получения удаленного контроля над системами жертв.
Злоумышленник также запустил бэкдор Sodamaster в скомпрометированных сетях — инструмент, который, как считается, использовался исключительно группой угроз Cicada как минимум с 2020 года.
Sodamaster работает в системной памяти (без файлов) и имеет возможность избежать обнаружения, ища в реестре признаки среды песочницы или задерживая ее выполнение.
Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
В этой кампании было замечено несколько других утилит, включая:
Инструмент архивации RAR — помогает сжимать, шифровать или архивировать файлы, вероятно, для эксфильтрации.
Обнаружение системы/сети — способ для злоумышленников узнать о системах или службах, подключенных к зараженной машине.
WMIExec — инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах.
NBTScan - инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети.
Время пребывания злоумышленников в сетях некоторых из обнаруженных жертв длилось целых девять месяцев, отмечают исследователи.
Многие из организаций, на которые направлена эта кампания, по-видимому, связаны с правительством или НПО (занимающимися образовательной или религиозной деятельностью), а также компаниями телекоммуникационного, юридического и фармацевтического секторов.
Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, которая насчитывает жертвы в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Следует отметить, что только одна жертва из Японии, страны, которая уже много лет находится в центре внимания группы Cicada.
По сравнению с предыдущими атаками этой группы, которые были сосредоточены на компаниях, связанных с Японией, жертвы этой кампании указывают на то, что злоумышленник расширил свой интерес.
Ориентируясь на компании, связанные с Японией, Cicada в прошлом ориентировалась на здравоохранение, оборону, аэрокосмическую промышленность, финансы, морское дело, биотехнологии, энергетику и государственный сектор.
По меньшей мере двум членам группы угроз APT10 были предъявлены обвинения в США за деятельность по взлому компьютеров, чтобы помочь Бюро государственной безопасности Министерства государственной безопасности Китая (MSS) в Тяньцзине похитить интеллектуальную собственность и конфиденциальную деловую информацию от поставщиков управляемых услуг, правительственных учреждений США, и более 45 технологических компаний.
Иван Ковалев
VIAПривлечение дополнительного трафика и повышение продаж с помощью интернет ресурса обеспечивается за счет использования
Появившись чуть менее двух лет назад, первые умные часы от Pebble наделали много шума в IT-сообществе. Ведь абсолютно
Хотя наличие сторонних приложений в MIUI и отсутствие беспроводной зарядки являются недостатками, общая
