Hackers chinos están usando VLC Media Player para instalar malware
Investigadores de seguridad descubrieron una campaña maliciosa de larga duración de hackers asociados con el gobierno chino. Estos hackers están utilizando VLC Media Player para ejecutar un instalador de malware personalizado.
La campaña parece tener fines de espionaje y se ha dirigido a varias entidades involucradas en actividades gubernamentales, legales y religiosas, así como a organizaciones no gubernamentales (ONG) en al menos tres continentes.
Esta actividad se ha atribuido a un actor de amenazas identificado como Cicada (también conocido como menuPass, Stone Panda, Potasio, APT10, Red Apollo). Cicada ha estado activo durante más de 15 años, al menos desde 2006.
Uso de VLC para implementar un instalador de malware personalizado
El inicio de la campaña actual de Cicada fue identificada hasta mediados de 2021 y todavía estaba activa en febrero de 2022. Los investigadores dicen que esta campaña aún puede estar activa.
Hay evidencia de que algún acceso inicial a algunas de las redes vulneradas fue a través de un servidor de Microsoft Exchange. Esto indica que el atacante explotó una vulnerabilidad conocida en máquinas sin parches.
Los investigadores de Symantec, una división de Broadcom, descubrieron que después de obtener acceso a la máquina de destino, el atacante implementó un instalador personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC.
Brigid O Gorman de Symantec dijo que el atacante usa una versión limpia de VLC con un archivo DLL malicioso. El archivo malicioso se encuentra en la misma ruta que las funciones de exportación del reproductor multimedia.
La técnica se conoce como carga lateral de DLL. Esta es ampliamente utilizada por los atacantes para cargar malware en procesos legítimos para ocultar la actividad maliciosa.
Además del instalador personalizado, del que O Gorman dijo que Symantec no tiene nombre pero que se ha visto en ataques anteriores atribuidos a Cicada/APT10, el atacante también implementó un servidor WinVNC para obtener control remoto sobre los sistemas de las víctimas.
El atacante también ejecutó la puerta trasera Sodamaster en redes comprometidas. Sodamaster es una herramienta que se cree que utiliza exclusivamente el grupo de amenazas Cicada desde al menos 2020.
Sodamaster se ejecuta en la memoria del sistema (sin archivos). Asimismo, está programada para evadir la detección buscando en el registro pistas de un entorno de pruebas o retrasando su ejecución.
Funciones del malware
El malware también puede recopilar detalles sobre el sistema, buscar procesos en ejecución y descargar y ejecutar varios payloads desde el servidor de comando y control.
Varias otras utilidades que los investigadores observaron en esta campaña incluyen:
- Herramienta de archivo RAR: ayuda a comprimir, cifrar o archivar archivos, probablemente para exfiltración
- Detección de sistemas/redes: una forma para que los atacantes conozcan los sistemas o servicios conectados a una máquina infectada.
- WMIExec: herramienta de línea de comandos de Microsoft que se puede usar para ejecutar comandos en computadoras remotas
- NBTScan: una herramienta de código abierto que se ha observado que utilizan los grupos APTs para el reconocimiento en una red comprometida
El tiempo de permanencia de los atacantes en las redes de algunas de las víctimas descubiertas duró hasta nueve meses
Un enfoque más amplio
Muchas de las organizaciones a las que se dirige esta campaña parecen estar relacionadas con gobiernos o con ONGs (involucradas en actividades educativas o religiosas). Aunque también han atacado empresas de los sectores de telecomunicaciones, legal y farmacéutico.
Los investigadores de Symantec destacan la amplia geografía de esta campaña de Cicada. Las víctimas se encuentran en Estados Unidos, Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.
Para tener en cuenta, solo una víctima es de Japón, un país que ha sido el foco del grupo Cicada durante muchos años.
En comparación con la orientación anterior de este grupo, que se centró en empresas vinculadas a Japón, las víctimas de esta campaña indican que el actor de amenazas ha ampliado su interés.
Si bien se enfocó en empresas vinculadas a Japón, Cicada se ha centrado en los sectores de salud, defensa, aeroespacial, finanzas, marítimo, biotecnología, energía y gubernamental en el pasado.
Al menos dos miembros del grupo de amenazas APT10 han sido acusados en los Estados Unidos por actividades de hacking. Estos han sido señalados de ayudar a la Oficina de Seguridad del Estado de Tianjin del Ministerio de Seguridad del Estado (MSS) de China a obtener propiedad intelectual e información comercial confidencial de proveedores de servicios administrados, agencias gubernamentales de Estados Unidos y más de 45 empresas de tecnología.