Исследователи безопасности обнаружили длительную вредоносную кампанию хакеров, связанных с китайским правительством, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносного ПО.
Судя по всему, эта кампания преследует цели шпионажа и направлена на различные организации, занимающиеся государственной, юридической и религиозной деятельностью, а также неправительственные организации (НПО), по крайней мере, на трех континентах.
Эта деятельность приписывается агенту угроз, отслеживаемому как Cicada (он же menuPass, Stone Panda, Potassium, APT10, Red Apollo), который действует уже более 15 лет, по крайней мере с 2006 года.
Использование VLC для развертывания пользовательского загрузчика вредоносного ПО
Начало текущей кампании Cicada было отслежено до середины 2021 года и все еще было активным в феврале 2022 года. Исследователи утверждают, что эта активность может продолжаться и сегодня.
Есть свидетельства того, что первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник использовал известную уязвимость на непропатченных машинах.
Исследователи из Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленник развертывал на взломанных системах пользовательский загрузчик с помощью популярного медиаплеера VLC.
Бриджид О Горман из команды Symantec Threat Hunter Team рассказала, что злоумышленник использует чистую версию VLC с вредоносным DLL-файлом, расположенным по тому же пути, что и функции экспорта медиаплеера.
Эта техника известна как побочная загрузка DLL и широко используется субъектами угроз для загрузки вредоносного ПО в легитимные процессы, чтобы скрыть вредоносную активность.
Помимо пользовательского загрузчика, название которого, по словам О Гормана, у Symantec отсутствует, но который был замечен в предыдущих атаках, приписываемых Cicada/APT10, злоумышленник также развернул WinVNC-сервер для получения удаленного контроля над системами жертв.
Злоумышленник также запустил в скомпрометированных сетях бэкдор Sodamaster — инструмент, который, как считается, используется исключительно группой угроз Cicada, по крайней мере, с 2020 года.
Sodamaster работает в системной памяти (без файлов) и способен уклоняться от обнаружения, ища в реестре подсказки о наличии среды «песочницы» или откладывая выполнение.
Вредоносная программа также может собирать подробную информацию о системе, искать запущенные процессы, загружать и выполнять различные полезные нагрузки с командно-контрольного сервера.
В этой кампании было замечено несколько других утилит, включая:
- Инструмент архивации RAR — помогает сжимать, шифровать или архивировать файлы, вероятно, для эксфильтрации.
- Обнаружение системы/сети — способ для злоумышленников узнать о системах или службах, подключенных к зараженной машине.
- WMIExec — инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах.
- NBTScan — инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети.
Время пребывания злоумышленников в сетях некоторых из обнаруженных жертв длилось целых девять месяцев, отмечают исследователи в сегодняшнем отчете.
Более широкий фокус
Многие из организаций, на которые направлена эта кампания, по-видимому, связаны с правительством или НПО (занимающимися образовательной или религиозной деятельностью), а также компаниями телекоммуникационного, юридического и фармацевтического секторов.
Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, которая насчитывает жертвы в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Следует отметить, что только одна жертва из Японии, страны, которая уже много лет находится в центре внимания группы Cicada.
По сравнению с предыдущим нацеливанием этой группы, которое было сосредоточено на компаниях, связанных с Японией, жертвы этой кампании указывают на то, что злоумышленник расширил свой интерес.
Ориентируясь на компании, связанные с Японией, Cicada в прошлом ориентировалась на здравоохранение, оборону, аэрокосмическую промышленность, финансы, морское дело, биотехнологии, энергетику и государственный сектор.
По меньшей мере двум членам группы угроз APT10 были предъявлены обвинения в США за деятельность по взлому компьютеров, чтобы помочь Бюро государственной безопасности Министерства государственной безопасности Китая (MSS) в Тяньцзине получить интеллектуальную собственность и конфиденциальную деловую информацию от поставщиков управляемых услуг, правительственных учреждений США, и более 45 технологических компаний.
Последнее обновление 05.01.2023
