Китайские хакеры использовали VLC для слежки за западными компаниями

12.04.2022

Информационная безопасность *

Китайские хакеры атаковали пользователей через медиаплеер VLC. По мнению экспертов компании Symantec, серия атак продолжается длительное время, ее жертвами стали государственные и частные предприятия по всему миру.

Кампанию приписывают группировке Cicada (также известна как menuPass, Stone Panda, Potassium, APT10, Red Apollo), которая активна более 15 лет. Нынешняя волна атак началась в 2021 году и продолжалась по крайней мере до февраля 2022. Исследователи считают, что атаки могут совершаться и сегодня.

Эксперты отмечают, что злоумышленники получали доступ к сетям через сервер Microsoft Exchange, что означает, что они использовали какую-то известную уязвимость. После взлома они разворачивали вредоносное ПО с помощью медиаплеера VLC, используя при этом чистую версию программы с вредоносным файлом DLL — метод, известный как DLL side-loading (боковая загрузка DLL), который широко используется злоумышленниками.

Кроме того, хакеры запускали на системах жертв бэкдор Sodamaster — инструмент, который, как считается, использовался исключительно группой Cicada как минимум с 2020 года. Sodamaster способен собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с управляющего сервера.

По оценке экспертов, жертвами кампании стали системы из США, Канады, Италии, Турции, Гонконга, Израиля, Черногории и Индии. Время пребывания злоумышленников в некоторых сетях достигало девяти месяцев.

Теги: хакеры, китай, cicada, кибер атаки, vlc, vlc media player
Хабы: Информационная безопасность

Источник: https://habr.com