Scoperta una campagna attiva dal 2021 anche in Italia che sfrutta VLC Media Player per installare un loader personalizzato per il malware.
La campagna sembra avere come obiettivo lo spionaggio e ha visto vittime negli USA, in Canada, a Hong Kong, in Turchia, in Israele, in India, in Montenegro e in Italia. Le entità attaccate riguardano realtà legate ad attività governative, religiose, nel settore legale e organizzazioni non governative (ONG) senza fini di lucro.
Gli esperti hanno attribuito la campagna al gruppo di hacker Cicada (noto anche come menuPass, Stone Panda, Potassium, APT10 e Red Apollo), attivo da più di 15 anni almeno dal 2006 e che si ritiene sia legato al governo cinese.
I ricercatori di Symantec hanno rilevato che, dopo aver ottenuto l’accesso al computer target, i cyber criminali utilizzano un loader custom tramite VLC media player. Gli attori utilizzano una versione “pulita” di VLC con un file DLL malevolo nello stesso percorso delle funzioni di esportazione del riproduttore multimediale.
La tecnica, nota come DLL side-loading, viene utilizzata dagli attori per caricare malware in processi legittimi e nascondere l’attività malevola. Cicada ha inoltre utilizzato un server WinVNC per controllare da remoto i sistemi colpiti, oltre alla backdoor Sodamaster caricata direttamente nella memoria di sistema (senza file).
La backdoor (utilizzata esclusivamente da Cicada) elude il rilevamento cercando indizi nel registro di sistema di un ambiente sandbox o ritardando la sua esecuzione. Il malware raccoglie anche dettagli sul sistema, cerca i processi in esecuzione e scarica ed esegue vari payload dal server di comando e controllo (C2).
Alcune indicazioni mostrano che il primo accesso ad alcune reti compromesse sia avvenuto attraverso server Microsoft Exchange, sfruttando una vulnerabilità su macchine senza patch.
Gli esperti spiegano che la campagna, iniziata a metà del 2021 e ancora attiva a febbraio 2022, potrebbe essere ancora in corso.
https://www.securityinfo.it/2022/04/07/hacker-cinesi-installano-malware-attraverso-vlc-media-player/