SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。
レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。
2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。
こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。
WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース)
3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a
フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。
中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。
悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。
WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。
2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg
VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か
引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1679306666/
以下ネットの反応
要するにどういうことだよ?
VLCに仕込まれてたわけじゃないってこと?
VLCをアンインストール必要はあるんか?
>「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用
悪いのは、DLLだろ
DLLサイドローディングは、標的システムに悪性のDLLを配置し、
アプリケーションを通じてその悪性DLLを実行させる攻撃手法です。
悪性DLLを実行するアプリケーションは正当なものであるため、
セキュリティ検知を回避できるという特徴があります。
どっちにしろVLCは削除した方がいい
本家以外の使ってる人はね
VLCはフランス製でオープンソースな
VLCメイクすれば良い
こういう理由だったわけ?
バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ
それはバッファローのファームがおかしいだけやろw
ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。
GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外
野良アプリインストールする奴なんて 完全に自己責任でしょ
コメント
本家とカスタマイズがあるの知らなかった
既にインストールされてる奴がどっちかどうやったらわかるの?
不安なら一回アンインストールしてから本家(https://www.videolan.org/)からインストールし直せば良い
そういや一昔前に使ってたな。AB間リピートがあったように思う。
で、エロシーンをリピート再生してたなw