研究人员发现,中国黑客一直在使用 VLC Media Player 发起网络安全攻击。
据称隶属于中国政府的黑客组织使用流行的视频播放器在目标计算机上部署恶意软件。
这些活动可追溯到一个名为 Cicada 的黑客组织,该组织也有许多其他名称,例如 menuPass、Stone Panda、APT10、Potassium 和 Red Apollo。蝉已经存在了很长时间——至少从 2006 年开始。
部署给攻击受害者的恶意软件为黑客获取各种信息打开了大门。它可以授予有关系统的所有知识,搜索正在运行的进程,并根据命令下载文件,只会扩大滥用的可能性。这种隐身攻击并不少见,但这一次似乎发生了大规模。
这场涉及流行的 VLC 媒体播放器的活动似乎是出于间谍目的而发起的。根据 Bleeping Computer 的一份报告,目标涉及涉及法律、政府或宗教活动的广泛实体。非政府组织也成为攻击目标。更令人震惊的是,这项活动已经蔓延到至少三大洲的实体。
一些目标国家包括美国、香港、印度、意大利和加拿大。令人惊讶的是,只有一名受害者来自日本。 Cicada 集团过去曾多次针对日本进行网络攻击。一旦攻击者获得了对受害者机器的访问权限,他们就能够将其维护长达九个月。
尽管 VLC 被用来部署恶意软件,但文件本身是干净的。似乎安全版本的 VLC 与位于该位置的恶意 DLL 文件结合在一起,作为媒体播放器的导出功能。这被称为 DLL 侧载,Cicada 并不是唯一使用这种技术将恶意软件上传到原本安全的程序中的人。
Cicada 使用的自定义加载程序显然已经在之前的攻击中看到过,这些攻击也与黑客团队有关。为了首先获得对被破坏网络的访问权限,微软 Exchange 服务器被利用。此外,还部署了 WinVNC 服务器作为对受隐藏恶意软件影响的系统建立远程控制的一种手段。
VLC 漏洞利用的内容远不止表面上看的那么简单。最重要的是,使用了一个名为 Sodamaster 的漏洞利用,它在系统内存中秘密运行,不需要任何文件。它能够避免检测并在启动时延迟执行。
尽管这些攻击肯定是危险的,但并不是每个 VLC 用户都需要担心。媒体播放器本身被证明是干净的,黑客似乎有一种非常有针对性的方法,以某些实体为中心。但是,在涉及 PC 的安全性方面始终保持领先始终很重要。
该信息来自赛门铁克,由Bleeping Computer报道。赛门铁克的研究人员发现,这些网络安全攻击可能始于 2021 年年中,并在 2022 年 2 月继续发生。但是,这种威胁完全有可能持续到今天。