Со временем объем персональных данных, которые мы храним и используем на наших компьютерах, увеличивается. Следовательно, мы должны позаботиться о безопасности, обеспечиваемой программами, которые мы устанавливаем, чтобы не было утечек или недостатков безопасности, как это произошло сейчас с VLC.
Наверняка многие из вас уже знают, что здесь речь идет об одном из самых любимых и используемых мультимедийных проигрывателей в мире. Это продукт, завоевавший доверие большинства за эти годы, и мы находим его на большинстве настольных компьютеров и мобильных устройств. Однако из того, что мы знаем сейчас, исследователи безопасности обнаружили вредоносная кампания, которая напрямую влияет на это программное обеспечение.
В частности, мы имеем в виду, что ряд хакеров, связанных с китайским правительством, использование VLC для запуска пользовательского загрузчика вредоносных программ . Поначалу все указывает на то, что это в целях шпионажа. Мы говорим это, потому что изначально он нацелен на различные организации, связанные с государственной, юридической и религиозной деятельностью. Точно так же следы атак через приложение были замечены в отношении неправительственных организаций как минимум на трех континентах.
Стоит отметить, что вредоносная активность была приписана известной группе, называющей себя Cicada. Мы говорим о нападающий который уже использовал другие имена в прошлом и который был активен с 2006 года. В то же время интересно знать, что первые движения в этом отношении были обнаружены в середине 2021 года, но он остается активным. в данный момент.
VLC, жертва шпионского вредоносного ПО
Чтобы дать нам представление обо всем этом, есть свидетельства того, что первоначальный доступ к некоторым скомпрометированным сетям осуществлялся через Microsoft Сервер Exchange . Позже специалисты охранной компании Symantec обнаружили, что, получив этот доступ, злоумышленник развернул кастомный загрузчик на других скомпрометированных системах с помощь вышеупомянутого VLC .
Как теперь выяснилось, злоумышленник использует чистую версию популярного медиаплеера. Он содержит вредоносный DLL-файл, хранящийся по тому же пути, что и функции экспорта медиаплеера. Это техника, известная как неопубликованная загрузка DLL и широко используется для загрузки вредоносных программ в законные процессы и сокрытия вредоносной активности. В дополнение к пользовательскому загрузчику, о котором мы упоминали, также отображается сервер WinVNC. При этом можно получить удаленное управление системами пострадавших пострадавших.
В свою очередь, тот же злоумышленник, которого мы обсуждаем, использует инструмент, который считается проприетарным, Sodamaster, и используется по крайней мере с прошлого 2020 года. Он работает в системной памяти и оборудован, чтобы избежать обнаружения злоумышленником. установлено программное обеспечение безопасности. Весь вредоносный набор также подготовлен для собрать большой объем информации с зараженного компьютера . Мы говорим о данных важности операционной системы или запущенных процессов. Помимо загрузки и выполнения различных опасных полезных нагрузок с управляющего сервера.
