Ciberatacantes chinos utilizan VLC Player para cargar malware

Investigadores de seguridad han descubierto una campaña maliciosa de larga duración de actores maliciosos chinos que utilizan VLC Media Player para lanzar un cargador de malware personalizado. De acuerdo a la información entregada, la campaña pareciera tener fines de espionaje y se ha dirigido a varias entidades involucradas en actividades gubernamentales, legales y religiosas, así […]

Investigadores de seguridad han descubierto una campaña maliciosa de larga duración de actores maliciosos chinos que utilizan VLC Media Player para lanzar un cargador de malware personalizado.

De acuerdo a la información entregada, la campaña pareciera tener fines de espionaje y se ha dirigido a varias entidades involucradas en actividades gubernamentales, legales y religiosas, así como a organizaciones no gubernamentales (ONG) en al menos tres continentes.

Esta actividad se ha atribuido a un actor de amenazas rastreado como Cicada (también conocido como menuPass, Stone Panda, Potasio, APT10, Red Apollo) que ha estado activo durante más de 15 años, al menos desde 2006.

El inicio de la campaña actual de Cicada se ha rastreó hasta mediados de 2021, pero a febrero de este año seguiría activa.

Hay evidencia de que algún acceso inicial a algunas de las redes violadas fue a través de un servidor de Microsoft Exchange, lo que indica que el actor explotó una vulnerabilidad conocida en máquinas sin parches.

Los investigadores de Symantec, una división de Broadcom, descubrieron que después de obtener acceso a la máquina de destino, el atacante implementó un cargador personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC.

De acuerdo a información entregada a BleepingComputer, el atacante usa una versión limpia de VLC con un archivo DLL malicioso en la misma ruta que las funciones de exportación del reproductor multimedia.

La técnica se conoce como carga lateral de DLL y es ampliamente utilizada por los actores de amenazas para cargar malware en procesos legítimos y ocultar la actividad maliciosa.

Además del cargador personalizado, el adversario también implementó un servidor WinVNC para obtener control remoto sobre los sistemas de las víctimas.

El atacante también ejecutó la puerta trasera Sodamaster en redes comprometidas, una herramienta que se cree que utiliza exclusivamente el grupo de amenazas Cicada desde al menos 2020.

Sodamaster se ejecuta en la memoria del sistema (sin archivos) y está equipado para evadir la detección buscando en el registro pistas de un entorno de pruebas o retrasando su ejecución.

El malware también puede recopilar detalles sobre el sistema, buscar procesos en ejecución y descargar y ejecutar varias cargas útiles desde el servidor de comando y control.

Otras utilidades que se han observado en esta campaña incluyen:

• Herramienta de archivo RAR: ayuda a comprimir, cifrar o archivar archivos, probablemente para exfiltración.
  
• Detección de sistemas/redes: una forma para que los atacantes conozcan los sistemas o servicios conectados a una máquina infectada.
  
• WMIExec: herramienta de línea de comandos de Microsoft que se puede usar para ejecutar comandos en computadoras remotas.
  
• NBTScan: una herramienta de código abierto que se ha observado que utilizan los grupos APT para el reconocimiento en una red comprometida.
  
• El tiempo de permanencia de los atacantes en las redes de algunas de las víctimas descubiertas duró hasta nueve meses, señalan los investigadores en un informe de hoy.