Μία μακροχρόνια κακόβουλη καμπάνια χρησιμοποιείται από hackers που σχετίζονται με την κινεζική κυβέρνηση, οι οποίοι καταχρώνται το VLC Media Player για να ξεκινήσουν ένα προσαρμοσμένο πρόγραμμα φόρτωσης κακόβουλου λογισμικού.
Δείτε επίσης: VLC Media Player 3.0.11: Διορθώνει σοβαρό σφάλμα απομακρυσμένης εκτέλεσης κώδικα
Η εκστρατεία φαίνεται να εξυπηρετεί σκοπούς κατασκοπείας κα οι ερευνητές της Symantec Threat Hunter Team δήλωσαν ότι οι εκστρατείες κυβερνοεπιθέσεων στοχεύουν διάφορους κυβερνητικούς και μη κυβερνητικούς οργανισμούς σε τρεις ηπείρους, συμπεριλαμβανομένης της Βόρειας Αμερικής, της Ασίας και της Ευρώπης.
Ο Brigid O Gorman είπε στο ειδησεογραφικό πρακτορείο ότι αν και οι Κινέζοι χάκερ στόχευσαν κυβερνητικές και μη κυβερνητικές οργανώσεις, επιτέθηκαν επίσης σε άλλες εκπαιδευτικές και θρησκευτικές ομάδες.
Η ομάδα πίσω από τη κακόβουλη καμπάνια είναι γνωστή ως Cicada (αλλά και ως menuPass, Stone Panda, Potassium, APT10, Red Apollo) και είναι ενεργή για περισσότερα από 15 χρόνια, τουλάχιστον από το 2006.
Η έναρξη της τρέχουσας εκστρατείας ανακαλύφθηκε στα μέσα του 2021 και ήταν ακόμα ενεργή τον Φεβρουάριο του 2022.
Υπάρχουν στοιχεία ότι η αρχική πρόσβαση σε ορισμένα από τα παραβιασμένα δίκτυα έγινε μέσω διακομιστή Microsoft Exchange, γεγονός που υποδεικνύει ότι η ομάδα εκμεταλλεύτηκε μια γνωστή ευπάθεια σε μη επιδιορθωμένα μηχανήματα.
Δείτε ακόμα: Apple και Meta μοιράστηκαν δεδομένα με hackers που προσποιούνταν ότι ήταν ερευνητές
Ερευνητές στη Symantec, ένα τμήμα της Broadcom, ανακάλυψαν ότι, αφού απέκτησε πρόσβαση στο μηχάνημα-στόχο, ο εισβολέας ανέπτυξε έναν προσαρμοσμένο φορτωτή σε παραβιασμένα συστήματα με τη βοήθεια του δημοφιλούς προγράμματος αναπαραγωγής πολυμέσων VLC.
Ο Gorman δήλωσε ότι ο εισβολέας χρησιμοποιεί μια καθαρή έκδοση του VLC με ένα κακόβουλο αρχείο DLL στην ίδια διαδρομή με τις λειτουργίες εξαγωγής του media player.
Η τεχνική είναι γνωστή ως πλευρική φόρτωση DLL και χρησιμοποιείται ευρέως από τους κακόβουλους παράγοντες για τη φόρτωση κακόβουλου λογισμικού σε νόμιμες διαδικασίες για την απόκρυψη της κακόβουλης δραστηριότητας.
Εκτός από τον προσαρμοσμένο φορτωτή, για τον οποίο ο O Gorman είπε ότι η Symantec δεν έχει όνομα, η ομάδα ανέπτυξε επίσης έναν διακομιστή WinVNC για να αποκτήσει απομακρυσμένο έλεγχο στα συστήματα των θυμάτων.
Ο εισβολέας εκτέλεσε επίσης το backdoor Sodamaster σε παραβιασμένα δίκτυα, ένα εργαλείο που πιστεύεται ότι χρησιμοποιείται αποκλειστικά από την ομάδα απειλών Cicada τουλάχιστον από το 2020.
Δείτε επίσης: Ρώσοι hackers στοχεύουν δίκτυα του NATO και στρατιωτικές δυνάμεις της Ευρώπης
Το Sodamaster εκτελείται στη μνήμη του συστήματος (χωρίς αρχείο) και είναι εξοπλισμένο για αποφυγή ανίχνευσης αναζητώντας στο μητρώο ενδείξεις περιβάλλοντος sandbox ή καθυστερώντας την εκτέλεσή του.
Το κακόβουλο λογισμικό μπορεί επίσης να συλλέξει λεπτομέρειες σχετικά με το σύστημα, να αναζητήσει διεργασίες που εκτελούνται και να κατεβάσει και να εκτελέσει διάφορα ωφέλιμα φορτία από τον διακομιστή εντολών και ελέγχου.
