コンピュータ セキュリティの研究者は、中国政府と関係のあるハッカーが主導する長期にわたる悪意のあるキャンペーンの存在を発見しました。彼らは明らかに VLC Media Player を悪用して、被害者の PC に危険なマルウェアを配布します。
この長年のキャリアの中で、マルチメディア プレーヤー VLC Media Player は海賊によって何度もハイジャックされてきました。たとえば2017年には、ハッカーが VLC ユーザーをだまして悪意のある字幕を作成させた。 2019年には、重大なセキュリティ上の欠陥により、攻撃者が任意のコードをリモートで実行できるようになりました。
しかし、シマンテックのコンピュータセキュリティ研究者は、中国政府と関係のあるハッカーが主導する長期にわたる悪意のあるキャンペーンの存在を発見しました。こちらはセミグループです、すでに15年近く運営されています。この作戦の開始は 2021 年半ばに発見され、2022 年 2 月現在も活動中です。シマンテックの専門家は、現在も進行中であると推定しています。
明らかに、このキャンペーンは次の日に開始されました。スパイ目的NGOだけでなく、政府、法律、宗教活動に関わるさまざまな団体からも参加しています。研究者らによると、標的のネットワークへのアクセスは既知の脆弱性のおかげで Microsoft Exchange サーバー経由で行われていましたが、問題のマシンでは修正されていませんでした。
こちらもお読みください:VLC 4.0 – VideoLAN は 2021 年に向けてインターフェースの完全な見直しを準備
標的のPCにアクセスした後、攻撃者は、悪意のある DLL ファイルを含む VLC の修正バージョンを展開しました。として知られるこのテクニックは、DLL サイドローディングは、悪意のあるアクティビティを隠すためにマルウェアを正規のプロセスにロードするためにハッカーによって長年使用されてきました。
簡単に言うと、特定のコマンドは多くのアプリケーションに共通です。ただし、アプリの開発を容易にするために、これらのコマンドはライブラリに保存されます。アプリが特定のコマンドを必要とするとき、アプリは対応するライブラリでそれを探します。
この手法を使用すると、海賊たちは実際には善良な書店員を偽の書店員に置き換えるだけですが、偽の書店員は同じ名前と同じコマンドに応答します。しかし、ここでは、コマンドに関連付けられた関数は、まったく異なるコマンドを起動するように変更されます。この特定のケースでは、VLC メディア プレーヤーを介してマルウェアが拡散します。より正確には、システムの詳細を収集し、実行中のプロセスを検索し、さまざまなペイロードをリモートでダウンロード/実行できるようにする Sodamaster マルウェアです。
ソース :出血コンピュータ
![[カーネル] [ハルピア] SQUID KERNEL MOTO G4 PLAY](https://yumie.trade/statics/image/placeholder.png)
