スポンサーリンク

VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か

1: ID:00zE9szf9
 ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース)

3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a

フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。

中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。

WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。

2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg

スポンサーリンク

スポンサーリンク

VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か

引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1679306666/

以下ネットの反応

23: ID:TG2CDldb0
28: ID:jNNWaArV0
>>1
>「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用
悪いのは、DLLだろ

DLLサイドローディングは、標的システムに悪性のDLLを配置し、
アプリケーションを通じてその悪性DLLを実行させる攻撃手法です。
悪性DLLを実行するアプリケーションは正当なものであるため、
セキュリティ検知を回避できるという特徴があります。

48: ID:5u9Cmnve0
>>28
どっちにしろVLCは削除した方がいい
56: ID:jNNWaArV0
>>48
本家以外の使ってる人はね
62: ID:+upMTKEa0
>>1は要するにカスタマイズされたやつじゃなくて公式サイトのだけインスコしろってこと
2: ID:L8H0cMRi0
トロイの本馬
3: ID:uuuMKxNw0
何故三角コーンみたいなアイコン
5: ID:p70X+RiC0
中国製アプリって全部スパイウェアだろ
29: ID:Z4PyLvux0
>>5
VLCはフランス製でオープンソースな
7: ID:VMD533lO0
VLCおまえもか!(´Д⊂グスン
9: ID:q3fPIclE0
軽いから便利っちゃあ便利だがしゃーねぇな消すか
12: ID:Ct7jZNTF0
VLC好きなのに~(´・ω・`)
18: ID:TPIy73CO0
15年くらい前に中途半端にITにかぶれたおじさんのパソコンに入っていることが多い
21: ID:jNNWaArV0
心配なら自分で本家のソース取ってきて
VLCメイクすれば良い
27: ID:YSt3JZ7g0
VLCって実際に使ってみても大して便利でもないのに妙に高評価する奴が多かったんだよな
こういう理由だったわけ?
34: ID:XGw9gtOs0
iOSとかMacとかのVLCはどうなるのかな?
35: ID:onQa2dhR0
ソフトを削除したら勝手に必要なdllも連れて行って往生した思い出
43: ID:mFp1AjAp0
あれはVLCと中国のせいだったんか
バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ
90: ID:BJIIN2MA0
>>43
それはバッファローのファームがおかしいだけやろw
44: ID:jNNWaArV0
誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。
ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。
57: ID:dgAhY/U60
>>44
GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外
野良アプリインストールする奴なんて 完全に自己責任でしょ

コメント

  1. 本家とカスタマイズがあるの知らなかった
    既にインストールされてる奴がどっちかどうやったらわかるの?

  2. 不安なら一回アンインストールしてから本家(https://www.videolan.org/)からインストールし直せば良い

  3. そういや一昔前に使ってたな。AB間リピートがあったように思う。
    で、エロシーンをリピート再生してたなw

タイトルとURLをコピーしました