Streszczenie:

W szokującym objawieniu badacze cyberbezpieczeństwa odkryli, że hakerzy w Chinach korzystają z popularnego odtwarzacza Media VLC do rozpoczęcia ataków złośliwego oprogramowania. Grupa hakerska, znana jako CICADA, osadza złośliwe pliki wraz z funkcjami eksportowymi VLC Media Player. Po zainstalowaniu pliku złośliwego oprogramowania w systemie CICADA zyskuje pełną kontrolę nad zhakowanym systemem za pomocą serwera zdalnego dostępu VNC. Grupa była celem różnych organizacji, w tym agencji rządowych, organizacji non-profit i firm z powiązaniami religijnymi, w krajach takich jak Stany Zjednoczone, Kanada, Hongkong, Turcja, Izrael, Czarnogół, Włochy i Indie. Aby uniknąć stania się ofiarą hakowania, zaleca się, aby oprogramowanie było aktualne, korzystać z oprogramowania bezpieczeństwa, korzystanie z silnych haseł, tworzenie kopii zapasowych ważnych danych i unikanie klikania wiadomości e-mail od nieznajomych.

Pytania:

1. W jaki sposób chińskie grupy hakerskie wykorzystują VLC do ataków złośliwego oprogramowania?

Chińska grupa hakerska Cicada przechwytuje czystą wersję VLC i osadza złośliwy plik wraz z funkcjami eksportowymi odtwarzacza multimedialnego. Umożliwia to zainstalowanie złośliwego oprogramowania w systemach, gdy użytkownicy pobierają i instalują odtwarzacz multimedialny VLC.

2. Kiedy zaczęły się ataki VLC?

Ataki VLC rozpoczęły się w 2021.

3. Jakie są sposoby ochrony przed hakowaniem?

Aby chronić przed hakowaniem, zaleca się aktualizację oprogramowania, korzystanie z oprogramowania bezpieczeństwa, korzystanie z mocnych haseł, tworzenie kopii zapasowych ważnych danych i unikanie klikania wiadomości e-mail od nieznajomych.

4. Które kraje spotkały się z atakami złośliwego oprogramowania VLC?

Ataki złośliwego oprogramowania VLC znaleziono w Stanach Zjednoczonych, Kanadzie, Hongkongu, Turcji, Izraelu, Czarnogórze, Włoch i Indiach.

5. W jaki sposób cykada zyskuje kontrolę nad zhakowanymi systemami?

Po zainstalowaniu pliku złośliwego oprogramowania w systemie CICADA przejmuje kontrolę za pomocą serwera zdalnego dostępu VNC.

6. Które organizacje były celem CICADA?

CICADA ukierunkowała agencje rządowe, organizacje non-profit i firmy z powiązaniami religijnymi.

7. Co się stanie po zainstalowaniu złośliwego pliku VLC w systemie?

Złośliwe oprogramowanie wdrożone przez złośliwe plik VLC pozwala złemu aktorom przejąć pełną kontrolę nad komputerem, zapewniając im dostęp do wykonania poleceń i dostęp do różnych zasobów podłączonych do komputera.

8. Czy oprócz cykady są jakieś inne grupy hakerów?

Tak, oprócz CICADA, istnieją inne grupy hakerów, takie jak Lapsus $, które były ukierunkowane na firmy i uzyskali dane o innych organizacjach.

9. Jakie są zalecane środki bezpieczeństwa w celu ochrony przed hakowaniem?

Aby chronić przed hakowaniem, zaleca się aktualizację oprogramowania, korzystanie z oprogramowania bezpieczeństwa, korzystanie z mocnych haseł, tworzenie kopii zapasowych ważnych danych i unikanie klikania wiadomości e-mail od nieznajomych.

10. W jaki sposób użytkownicy mogą zapewnić autentyczność instalacji odtwarzaczy multimedialnych VLC?

Użytkownicy mogą zapewnić autentyczność instalacji VLC Media Player, pobierając konfigurację z oficjalnych źródeł i weryfikując integralność pobranego pliku.

VLC Media Player jest wykorzystywany jako przewoźnik dla złośliwego oprogramowania, firma badawcza bezpieczeństwa

Atakujący wykonał również backdoor Sodamaster w zagrożonych sieciach, narzędzie uważane za używane wyłącznie przez grupę CICADE Grounde Group od co najmniej 2020.

Czy używasz VLC Media Player? Strzec się! Hakerzy w Chinach rozpoczęli atak złośliwego oprogramowania

Popularny odtwarzacz multimedialny VLC jest wykorzystywany przez hakerów w Chinach do przeprowadzania ataków złośliwego oprogramowania w kilku krajach. Płacaj za te ważne kontrole bezpieczeństwa.

Przez: HT Tech
| Zaktualizowano: 22 sierpnia 2022, 11:23 ist

VLC Media Player jest dość popularny na całym świecie. Jest na prawie każdym urządzeniu, które odtwarza pliki audio lub nawet wideo. Oczywiście jest bezpłatny, open source i łatwy w obsłudze na każdej platformie, co sprawia, że ​​jest to jedna z najwyższych opcji w odtwarzaczach multimedialnych dla użytkowników. A może to jest powód, dla którego hakerzy wybrali VLC Media Player do przeprowadzenia masywnych ataków złośliwego oprogramowania! Tak, są szanse, że Twój odtwarzacz multimedialny VLC ukrywa złośliwe oprogramowanie. W szokującym objawieniu cyberprzestępcy wykorzystują VLC do rozpowszechniania złośliwego oprogramowania i szpiegów na agencje rządowe i inne organizacje, badacze cyberbezpieczeństwa potwierdzili w raporcie. Grupa hakerska to nikt inny jak notoryczna chińska grupa cykada.

Raport jednostki cyberbezpieczeństwa Symantec ujawnia, że ​​chińska grupa hakerska CICADA korzysta z VLC Media Player na komputerach Windows i laptopach, aby uruchomić złośliwe oprogramowanie, które są używane do szpiegowania rządów i powiązanych organizacji. Poza tym grupa hakerska była ukierunkowana na organizacje z powiązaniami religijnymi, a także sektorami prawnymi i non-profit do ataku złośliwego oprogramowania. Raport wykazał ślady ataków złośliwego oprogramowania w Stanach Zjednoczonych, Kanadzie, Hongkongu, Turcji, Izraelu, Czarnogórze i Włoch. Indie znajdują się również na liście krajów, w których napotkały ataki złośliwego oprogramowania VLC.

W jaki sposób chińskie grupy hakerskie wykorzystują VLC do ataków złośliwego oprogramowania?

Chińska grupa hakerska CICADA rejestruje czystą wersję VLC i osadza złośliwy plik wraz z funkcjami eksportowymi odtwarzacza multimedialnego, wyjaśnił firma Cybersecurity Symantec. Jest to technika, której hakerzy używają przez cały czas, aby osadzić złośliwe oprogramowanie w inne słynne i prawdziwe oprogramowanie. Gdy plik złośliwego oprogramowania znajduje się w oprogramowaniu, CICADA przejmuje następnie pełną kontrolę nad zhakowanym systemem za pomocą serwera zdalnego dostępu VNC.

Ataki VLC nie są jednak nowym zjawiskiem. Zaczęło się w 2021 r., Po tym, jak hakerzy zaatakowali znaną wadę serwera Microsoft Exchange.

Pamiętaj o tych punktach, aby uniknąć bycia ofiarą hakowania

Grupy hakerskie, takie jak Cicada, nadal stanowią poważne zagrożenie dla świata online. Ale istnieje kilka sposobów ochrony przed hakowaniem, a jedną z głównych i najprostszych sztuczek jest aktualizacja oprogramowania i korzystanie z oprogramowania bezpieczeństwa do ochrony urządzenia. Korzystanie z silnych haseł i tworzenie kopii zapasowych ważnych danych to inne proste sposoby utrudnienia pracy hakera. I, co ważne, nie klikaj żadnych wiadomości e -mail od nieznajomych obiecujących nagrody. Będą cię zwabić, a następnie ukraść pieniądze i inne dane.

Śledź HT Tech, aby uzyskać najnowsze wiadomości i recenzje technologiczne, również nadążaj za nami na Twitterze, Facebooku, Google News i Instagramie. W przypadku naszych najnowszych filmów zasubskrybuj nasz kanał YouTube.

VLC Media Player jest wykorzystywany jako przewoźnik dla złośliwego oprogramowania, firma badawcza bezpieczeństwa

Po pobraniu i zainstalowaniu złośliwego pliku VLC w systemie komputerowym wdraża złośliwe oprogramowanie, które pozwala złych aktorów przejąć kontrolę nad komputerem.

Inne wiadomości technologiczne

|. Scenariusz

Cyberbezpieczeństwo Symantec ujawnia, że ​​chińska grupa złych aktorów, znana jako Cykada, Hakuje się do odtwarzacza multimedialnego VLC zainstalowanego na komputerach stacjonarnych i laptopach Windows. Gdy grupa uzyska dostęp do komputerów użytkowników za pomocą odtwarzacza multimedialnego VLC, używają go do szpiegowania organizacji rządowych i innych władz. Oprócz tego, Cykada jest również atakowany na organizacje non-profit i firmy z powiązaniami religijnymi.

Te ataki złośliwego oprogramowania miały miejsce w kilku regionach na całym świecie, w tym w Stanach Zjednoczonych, Kanadzie, Hongkongu, Izraelu, Turcji, a nawet Indiach. Raport z badań wyjaśnia również, w jaki sposób hakerzy otrzymują kontrolę nad systemami użytkowników. Najpierw infekują plik instalacyjny odtwarzacza multimedialnego VLC i pływają go przez Internet. Ponieważ jest to popularne narzędzie dla użytkowników systemu Windows, wiele osób pobiera konfigurację z Internetu, nie sprawdzając autentyczności źródła.

Złośliwe pliki multimedialne VLC unoszą się w Internecie

Po pobraniu i zainstalowaniu złośliwego pliku VLC w systemie komputerowym wdraża złośliwe oprogramowanie, które umożliwia złym aktorom przejęcie pełnej kontroli nad urządzeniem, uzyskując dostęp do serwera VNC. Gdy hakerzy otrzymają kontrolę nad systemem, są w stanie wykonywać polecenia i uzyskiwać dostęp do kilku zasobów podłączonych do komputera, w tym do Internetu i w ten sposób monitorują i szpiegują inne osoby lub firmy.

Cykada nie jest jedyną grupą. W niedawnej przeszłości grupa hakerów, która podnosi nazwę Lapsus $, skierowała wiele firm. Początkowo pojawiły się doniesienia o tym, jak grupa hakerów była skierowana. Teraz wydaje się, że ta sama grupa zhakowała Microsoft, ponieważ sama firma potwierdziła naruszenie bezpieczeństwa i dostarczyła informacji na ten temat.

Aby zabezpieczyć przed tak złośliwym oprogramowaniem, użytkownicy powinni zawsze rozważyć pobieranie z oficjalnych stron internetowych. Pomocne powinno być sprawdzanie źródła oprogramowania lub programistę. Ponadto, dostęp do stron internetowych, które twierdzą, że oferują aplikację lub narzędzie za darmo. Wreszcie instalacja oprogramowania antywirusowego na komputerze stacjonarnym lub laptopie powinno być również bardzo pomocne. Bądź na bieżąco z więcej wiadomości technicznych.

VLC Media Player jest podobno pod groźbą chińskiego złośliwego oprogramowania

VLC, open source i bezpłatny odtwarzacz multimedialny, jest jednym z najczęściej używanych aplikacji na platformach operacyjnych. VLC ułatwia użytkownikom odtwarzanie filmów i plików audio. Łatwa w użyciu i obsługiwana platforma może odtwarzać prawie każdy typ pliku. Rozmiar pliku VLC sprawia, że ​​kompatybilne jest wygodne używanie go nawet w urządzeniach o niskiej pamięci, ale najnowsze raporty wskazują, że VLC są celem chińskich hakerów.

Eksperci cyberbezpieczeństwa Symantec twierdzą, że chińska grupa hakerska o nazwie CICADA korzysta z VLC w systemach Windows do uruchamiania złośliwego oprogramowania używanego do szpiegowania rządów i powiązanych organizacji.

Ponadto CICADA ukierunkowała sektory prawne i non-profit, a także organizacje z powiązaniami religijnymi. Hakerzy rzucili szeroką sieć, z celami w Stanach Zjednoczonych, Kanadzie, Hongkongu, Turcji, Izraelu, Indiach, Czarnogórze i Włoch.

Według Symantec, Cicada używa czystej wersji VLC do wszczepienia złośliwego pliku obok funkcji eksportu odtwarzacza multimedialnego. Jest to technika, na której hakerzy często polegają na zakradaniu się do złośliwego oprogramowania do tego, co w przeciwnym razie byłoby uzasadnione oprogramowanie.

Następnie CICADA używa serwera zdalnego dostępu VNC, aby w pełni posiadać zagrożony system. Następnie mogą uniknąć wykrywania za pomocą narzędzi hakerskich, takich jak Sodamaster, które skanują ukierunkowane systemy, pobierają bardziej złośliwe pakiety i przesłania komunikację między zagrożonymi systemami a serwerami poleceń i kontroli hakerów.

Więcej z tej sekcji Zobacz wszystkie

Możesz być zainteresowany

Ataki VLC prawdopodobnie rozpoczęły się w 2021. Naukowcy wskazują, że chociaż tajemnicze złośliwe oprogramowanie nie ma zabawnej, dramatycznej nazwy, takiej jak ksenomorph lub escobar, są pewni, że jest używany do szpiegostwa.

Złap wszystkie wiadomości technologiczne i aktualizacje na żywo. Pobierz aplikację Mint News, aby uzyskać codzienne aktualizacje rynku i wiadomości biznesowe na żywo.

Chińscy hakerzy nadużywają odtwarzacza multimedialnego VLC, aby uruchomić ładowarkę złośliwego oprogramowania

Badacze bezpieczeństwa odkryli długotrwałą złośliwą kampanię od hakerów związanych z chińskim rządem, którzy korzystają z VLC Media Player do uruchomienia niestandardowego ładowarki złośliwego oprogramowania.

Kampania wydaje się służyć celom szpiegowemu i ukierunkowała różne podmioty zaangażowane w działania rządowe, prawne i religijne, a także organizacje pozarządowe (organizacje pozarządowe) na co najmniej trzech kontynentach.

Ta działalność została przypisana aktorowi zagrożeniowi śledzonemu jako CICADA (A.k.A. Menupass, Stone Panda, potas, Apt10, Red Apollo), który jest aktywny od ponad 15 lat, od co najmniej 2006 roku.

Korzystanie z VLC do wdrażania niestandardowego ładowarki złośliwego oprogramowania

Początek cykady’Obecna kampania została śledzona do połowy 20121 r. I nadal była aktywna w lutym 2022 r. Naukowcy twierdzą, że ta działalność może być dziś kontynuowana.

Istnieją dowody na to, że początkowy dostęp do niektórych naruszonych sieci był za pośrednictwem serwera Microsoft Exchange, co wskazuje, że aktor wykorzystał znaną podatność na nieopatrzone maszyny.

Naukowcy z Symantec, oddział Broadcom, stwierdzili, że po uzyskaniu dostępu do maszyny docelowej atakujący wdrożył niestandardowy ładowarkę w zagrożonych systemach za pomocą popularnego odtwarzacza VLC Media Player.

Brigid O Gorman z Symantec Threat Hunter Team powiedział BleepingComputer, że atakujący używa czystej wersji VLC ze złośliwym plikiem DLL na tej samej ścieżce, co funkcje eksportu gracza multimedialnego.

Technika jest znana jako obciążanie boku DLL i jest szeroko stosowana przez aktorów zagrożenia do ładowania złośliwego oprogramowania do legalnych procesów w celu ukrycia złośliwej aktywności.

Oprócz niestandardowego ładowarki, który O Gorman powiedział, że Symantec nie ma nazwy, ale widziano go w poprzednich atakach przypisywanych CICADA/APT10, przeciwnik wdrożył również serwer WinVNC, aby uzyskać zdalne sterowanie nad systemami ofiar.

Atakujący wykonał również backdoor Sodamaster w zagrożonych sieciach, narzędzie uważane za używane wyłącznie przez grupę CICADE Grounde Group od co najmniej 2020.

Sodamaster działa w pamięci systemowej (bez pliku) i jest przygotowany do uniknięcia wykrywania poprzez patrzenie w rejestrze wskazówek środowiska piaskownicy lub opóźniając jego wykonanie.

Złośliwe oprogramowanie może również zbierać szczegóły dotyczące systemu, wyszukiwać uruchomione procesy oraz pobierać i wykonywać różne ładunki z serwera poleceń i sterowania.

W tej kampanii zaobserwowano kilka innych narzędzi, obejmuje:

• Narzędzie archiwizacji RAR – pomaga kompresować, szyfrować lub archiwizować pliki, prawdopodobnie w celu wykładania
• Odkrycie systemu/sieci – sposób, w jaki atakujący poznają systemy lub usługi podłączone do zainfekowanej maszyny
• WMIEXEC – narzędzie linii poleceń Microsoft, które można użyć do wykonywania poleceń na komputerach zdalnych
• NBTSCAN – narzędzie open source, które zaobserwowano, że grupy APT używane jest do rozpoznania w sieci zagrożonej

Atakujący’ Mieszkaj czas w sieciach niektórych odkrytych ofiar trwał tak długo, jak dziewięć miesięcy, naukowcy zauważają dziś w raporcie.

Szersze skupienie

Wiele organizacji ukierunkowanych na tę kampanię wydaje się być związane z rządem lub organizacje pozarządowe (zaangażowane w działania edukacyjne lub religijne), a także firmy w sektorach telekomunikacyjnych, prawnych i farmaceutycznych.

Badacze Symantec podkreślają szeroką geografię tej kampanii cykady, która liczy ofiary w U.S., Kanada, Hongkong, Turcja, Izrael, Indie, Czarnogór i Włochy.

Należy zauważyć, że tylko jedna ofiara pochodzi z Japonii, kraju, który od wielu lat był przedmiotem grupy Cicada.

W porównaniu z poprzednim celem tej grupy, która koncentrowała się na firmach związanych z japońskimi, ofiary w tej kampanii wskazują, że aktor zagrożenia rozszerzył swoje zainteresowanie.

Skupiając się na firmach związanych z japońskimi, CICADA w przeszłości w opiece zdrowotnej, obronie, lotniczej, finansach, morskiej, biotechnologii, energii i sektorach rządowych.

Co najmniej dwóch członków grupy zagrożonej APT10 zostało obciążonych w U.S. W celu hakowania komputerowego, aby pomóc chińskiemu Ministerstwu Bezpieczeństwa Państwowego (MSS) Tianjin State Security Bureau w uzyskaniu własności intelektualnej i poufnych informacji biznesowych od zarządzanych dostawców usług, U.S. agencje rządowe i ponad 45 firm technologicznych.