Специалисты по кибербезопасности обнаружили продолжительную по времени и масштабную по географии атаку, в которой хакерами для загрузки вредоносного ПО на устройство используется VLC Media Player.
Судя по всему, эта кампания преследует цели шпионажа и направлена на различные организации, занимающиеся государственной, юридической и религиозной деятельностью, а также неправительственные организации (НПО), по крайней мере, на трех континентах.
Эту хакерскую активность приписывают APT-группировке известной как Cicada (они же menuPass, Stone Panda, Potassium, APT10, Red Apollo), который действует уже более 15 лет, по крайней мере с 2006 года. Исследователи считают что данная группировка подчинена китайскому правительству.
Использование VLC для развертывания пользовательского загрузчика вредоносного ПО
Начало масштабной атаки Cicada специалисты по кибербезопасности начали отслеживать с середины 2021 года. Исследователи утверждают, что эта активность может продолжаться и сегодня.
Есть свидетельства того, что первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange, что указывает на то, что злоумышленник использовал известную уязвимость на непропатченных машинах (устройствах, на которых не были устранены уязвимости системы) .
Исследователи из Symantec, подразделения Broadcom, обнаружили, что после получения доступа к целевой машине злоумышленники устанавливали на взломанных системах пользовательский загрузчик с помощью популярного медиаплеера VLC.
Бриджид О Горман из команды Symantec Threat Hunter Team считает, что злоумышленники "используют чистую версию VLC с вредоносным DLL-файлом, расположенным по тому же пути, что и функции экспорта медиаплеера".
Эта техника известна как побочная загрузка DLL и широко используется злоумышленниками для загрузки вредоносного ПО в легитимны процессы, чтобы скрыть вредоносную активность.
Помимо пользовательского загрузчика, название которого, по словам О Горман, у Symantec отсутствует, но который был замечен в предыдущих атаках, приписываемых Cicada/APT10, злоумышленники также развернули WinVNC-сервер для получения удаленного контроля над системами жертв.
Также хакерами был запущен в скомпрометированных сетях бэкдор Sodamaster - инструмент, который, как считается, используется исключительно группой угроз Cicada, по крайней мере, с 2020 года.
Sodamaster работает в системной памяти (без файлов) и способен уклоняться от обнаружения, ища в реестре подсказки о наличии среды "песочницы" или откладывая выполнение.
Вредоносная программа также может собирать подробную информацию о системе, искать запущенные процессы, загружать и выполнять различные полезные нагрузки с командно-контрольного сервера.
В этой кампании было замечено несколько других утилит, в том числе:
- Инструмент архивации RAR - помогает сжимать, шифровать или архивировать файлы, вероятно, для эксфильтрации.
- Обнаружение системы/сетей - способ получения злоумышленниками информации о системах или службах, подключенных к зараженному компьютеру.
- WMIExec - инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах.
- NBTScan - инструмент с открытым исходным кодом, который использовался группами APT для разведки во взломанной сети.
Время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало девяти месяцев(!), отмечают исследователи в опубликованном отчете.
Более широкая направленность
Большинство организации, ставших мишенью злоумышленников, , относятся к "правительственным или неправительственным (занимающимся образовательной или религиозной деятельностью), а также к компаниям телекоммуникационного, юридического и фармацевтического секторов".
Исследователи Symantec подчеркивают широкую географию этой кампании Cicada, жертвы которой находятся в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Следует отметить, что только одна жертва находится в Японии - стране, которая была в центре внимания группы Cicada на протяжении многих лет.
По сравнению с предыдущими атаками этой группы, которые были направлены на компании, связанные с Японией, масштаб кибератаки указывают на то, что Cicada расширила круг своих интересов.
Ориентируясь на компании, связанные с со "Страной Восходящего Солнца", Cicada в прошлом атаковала компании из сферы здравоохранения, обороны, аэрокосмической промышленности, финансов, морского транспорта, биотехнологий, энергетики и государственного сектора.
Ранее, по меньшей мере, двум членам преступной группы APT10 были предъявлены обвинения в США за компьютерные хакерские атаки на государственные учреждений Соединенных Штатов и более 45 технологических компаний.
