itkvariat

    Китайские хакеры используют VLC Media Player для запуска загрузчика вредоносных программ




    Исследователи безопасности обнаружили длительную вредоносную кампанию хакеров, связанных с правительством Китая, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносных программ.

    Кампания, по-видимому, служит шпионским целям и нацелена на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также на неправительственные организации (НПО) по крайней мере на трех континентах.

    Эта активность была приписана злоумышленнику, отслеживаемому как Cicada (также известному как menuPass, Stone Panda, Potassium, APT10, Red Apollo), который был активен более 15 лет, по крайней мере, с 2006 года.

    Начало текущей кампании Cicada было отслежено до середины 2021 года, и она все еще была активной в феврале 2022 года. Исследователи говорят, что эта активность может продолжаться и сегодня.

    Есть свидетельства того, что некоторый первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник воспользовался известной уязвимостью на неисправленных машинах.

    Исследователи Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленник с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик.

    Бриджит О Горман из Symantec Threat Hunter Team сообщила BleepingComputer, что злоумышленник использует чистую версию VLC с вредоносным файлом DLL по тому же пути, что и функции экспорта медиаплеера.

    Этот метод известен как неопубликованная загрузка DLL и широко используется злоумышленниками для загрузки вредоносных программ в законные процессы, чтобы скрыть вредоносную активность.

    Помимо пользовательского загрузчика, у которого, по словам Горман, у Symantec нет названия, но он был замечен в предыдущих атаках, приписываемых Cicada/APT10, злоумышленник также развернул сервер WinVNC для получения удаленного контроля над системами жертв.

    Злоумышленник также запустил бэкдор Sodamaster в скомпрометированных сетях — инструмент, который, как считается, использовался исключительно группой угроз Cicada как минимум с 2020 года.

    Sodamaster работает в системной памяти (без файлов) и имеет возможность избежать обнаружения, ища в реестре признаки среды песочницы или задерживая ее выполнение.

    Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.

    В этой кампании было замечено несколько других утилит, включая:

    Инструмент архивации RAR — помогает сжимать, шифровать или архивировать файлы, вероятно, для эксфильтрации.
    Обнаружение системы/сети — способ для злоумышленников узнать о системах или службах, подключенных к зараженной машине.
    WMIExec — инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах.
    NBTScan - инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети.

    Время пребывания злоумышленников в сетях некоторых из обнаруженных жертв длилось целых девять месяцев, отмечают исследователи.

    Многие из организаций, на которые направлена эта кампания, по-видимому, связаны с правительством или НПО (занимающимися образовательной или религиозной деятельностью), а также компаниями телекоммуникационного, юридического и фармацевтического секторов.

    Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, которая насчитывает жертвы в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.

    Следует отметить, что только одна жертва из Японии, страны, которая уже много лет находится в центре внимания группы Cicada.

    По сравнению с предыдущими атаками этой группы, которые были сосредоточены на компаниях, связанных с Японией, жертвы этой кампании указывают на то, что злоумышленник расширил свой интерес.

    Ориентируясь на компании, связанные с Японией, Cicada в прошлом ориентировалась на здравоохранение, оборону, аэрокосмическую промышленность, финансы, морское дело, биотехнологии, энергетику и государственный сектор.

    По меньшей мере двум членам группы угроз APT10 были предъявлены обвинения в США за деятельность по взлому компьютеров, чтобы помочь Бюро государственной безопасности Министерства государственной безопасности Китая (MSS) в Тяньцзине похитить интеллектуальную собственность и конфиденциальную деловую информацию от поставщиков управляемых услуг, правительственных учреждений США, и более 45 технологических компаний.


    Иван Ковалев

    VIA





    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Как конвертировать видео с помощью VLC в разные форматы
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    
Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Китайские хакеры используют VLC Media Player для запуска загрузчика вредоносных программ




Исследователи безопасности обнаружили длительную вредоносную кампанию хакеров, связанных с правительством Китая, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносных программ.

Кампания, по-видимому, служит шпионским целям и нацелена на различные организации, участвующие в государственной, юридической и религиозной деятельности, а также на неправительственные организации (НПО) по крайней мере на трех континентах.

Эта активность была приписана злоумышленнику, отслеживаемому как Cicada (также известному как menuPass, Stone Panda, Potassium, APT10, Red Apollo), который был активен более 15 лет, по крайней мере, с 2006 года.

Начало текущей кампании Cicada было отслежено до середины 2021 года, и она все еще была активной в феврале 2022 года. Исследователи говорят, что эта активность может продолжаться и сегодня.

Есть свидетельства того, что некоторый первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник воспользовался известной уязвимостью на неисправленных машинах.

Исследователи Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленник с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик.

Бриджит О Горман из Symantec Threat Hunter Team сообщила BleepingComputer, что злоумышленник использует чистую версию VLC с вредоносным файлом DLL по тому же пути, что и функции экспорта медиаплеера.

Этот метод известен как неопубликованная загрузка DLL и широко используется злоумышленниками для загрузки вредоносных программ в законные процессы, чтобы скрыть вредоносную активность.

Помимо пользовательского загрузчика, у которого, по словам Горман, у Symantec нет названия, но он был замечен в предыдущих атаках, приписываемых Cicada/APT10, злоумышленник также развернул сервер WinVNC для получения удаленного контроля над системами жертв.

Злоумышленник также запустил бэкдор Sodamaster в скомпрометированных сетях — инструмент, который, как считается, использовался исключительно группой угроз Cicada как минимум с 2020 года.

Sodamaster работает в системной памяти (без файлов) и имеет возможность избежать обнаружения, ища в реестре признаки среды песочницы или задерживая ее выполнение.

Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.

В этой кампании было замечено несколько других утилит, включая:

Инструмент архивации RAR — помогает сжимать, шифровать или архивировать файлы, вероятно, для эксфильтрации.
Обнаружение системы/сети — способ для злоумышленников узнать о системах или службах, подключенных к зараженной машине.
WMIExec — инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах.
NBTScan - инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети.

Время пребывания злоумышленников в сетях некоторых из обнаруженных жертв длилось целых девять месяцев, отмечают исследователи.

Многие из организаций, на которые направлена эта кампания, по-видимому, связаны с правительством или НПО (занимающимися образовательной или религиозной деятельностью), а также компаниями телекоммуникационного, юридического и фармацевтического секторов.

Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, которая насчитывает жертвы в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.

Следует отметить, что только одна жертва из Японии, страны, которая уже много лет находится в центре внимания группы Cicada.

По сравнению с предыдущими атаками этой группы, которые были сосредоточены на компаниях, связанных с Японией, жертвы этой кампании указывают на то, что злоумышленник расширил свой интерес.

Ориентируясь на компании, связанные с Японией, Cicada в прошлом ориентировалась на здравоохранение, оборону, аэрокосмическую промышленность, финансы, морское дело, биотехнологии, энергетику и государственный сектор.

По меньшей мере двум членам группы угроз APT10 были предъявлены обвинения в США за деятельность по взлому компьютеров, чтобы помочь Бюро государственной безопасности Министерства государственной безопасности Китая (MSS) в Тяньцзине похитить интеллектуальную собственность и конфиденциальную деловую информацию от поставщиков управляемых услуг, правительственных учреждений США, и более 45 технологических компаний.


Иван Ковалев

VIA





Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Как конвертировать видео с помощью VLC в разные форматы
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024