A VLC-n keresztül támadnak a hekkerek

Biztonsági kutatók olyan régóta tartó támadást fedtek fel, amelyben a kínai államhoz köthető hekkerek a VLC médialejátszón keresztül juttattak rosszindulatú programokat a felhasználók gépeire. A támadás célja valószínűleg kémkedés, eddig három kontinensen céloztak meg vele állami, jogi, vallási és nonprofit szervezeteket.

A szakemberek szerint az akciót a Cicada (továbbá Stone Panda, menuPass, Potassium, APT10, Red Apollo) néven ismert 15 éve aktív hekkercsoport követte el.

A Symantec szakembereinek adatai szerint a támadók a Microsoft Exchange szerver biztonsági hibáinak egyikét kihasználva egy rosszindulatú DLL-fájlt juttattak a VLC exportfunkcióit tartalmazó könyvtárba, ahonnan úgynevezett side-loading során indult el és került be a rendes folyamatok közé. A kártevő ezt követően a kizárólag Cicada/APT10 csoport által használt Sodamaster hátsó ajtót telepítette a megtámadott gépre, amelyet a WinVNC segítségével távolról tudtak vezérelni.

A támadást 2021 közepéig tudták visszakövetni és 2022 februárjáig biztosan, de akár máig is aktív támadási módszer lehet.

A megtámadott szervezetek állami hivatalok, távközlési vállalatok, jogi cégek és gyógyszergyárak voltak az Egyesült Államokban, Kanadában, Hongkongban, Törökországban, Izraelben, Indiában, Montenegróban és Olaszországban. Feltűnő változás, hogy a Cicada csoport eddig ezúttal csak egy japán célpontokat támadott, pedig eddig szinte kizárólag a szigetország volt a fő célpontjuk.

(Bleeping Computer)