Güvenlik araştırmacıları, özel bir kötü amaçlı yazılım yükleyici başlatmak için VLC Media Player'ı kullanan, Çin hükümetiyle ilişkilendirilen Hacker'lardan uzun süren kötü amaçlı bir kampanyayı ortaya çıkardılar.
Kampanya, casusluk amaçlı hizmet veriyor gibi görünüyor ve hükümet, yasal ve dini faaliyetlerin yanı sıra sivil toplum kuruluşları (STK'lar) en az üç kıtada yer alan çeşitli varlıkları hedeflemiştir.
Bu aktivite, en az 2006'dan bu yana 15 yıldan fazla bir süredir aktif olan Cicada (A.K.A. Menupass, Stone Panda, Potasyum, APT10, Red Apollo) olarak izlenen bir tehdit aktörüne atfedilmiştir.
CICADA'nın mevcut kampanyasının başlangıcı 2021'in ortasına kadar izlendi ve hala 2022 Şubat'ta aktifti. Araştırmacılar bu aktivitenin bugün devam edebileceğini söylüyor.
İhlal edilen ağların bazılarına bazı ilk erişimin bir Microsoft Exchange sunucusu aracılığıyla, aktörün açılmamış makinelerde bilinen bir güvenlik açığı kullandığını belirten bir kanıt vardır.
Araştırmacılar, Broadcom'un bir bölümü olan Symantec'teki araştırmacılar, saldırganın hedef makineye erişimin ardından, popüler VLC media player yardımı ile ödün verilen sistemlerde özel bir yükleyici kullandığını buldu.
Brigid O Symantec tehdidi avcısı ekibi, saldırganın Medya oynatıcısının dışa aktarma işlevleri olarak aynı yoldaki kötü amaçlı bir DLL dosyası olan bir VLC'nin temiz bir versiyonunu kullandığını söyledi.
Teknik, DLL Yan Yükleme olarak bilinir ve kötü amaçlı etkinliği gizlemek için kötü amaçlı yazılımları meşru süreçlere yüklemek için tehdit aktörleri tarafından yaygın olarak kullanılmaktadır.
Özel yükleyici dışında, O Gorman, Symantec'in bir adına sahip olmadığını, ancak Cicada / Apt10'a atılan önceki saldırılarda görüldüğü gibi, rakip, mağdur sistemleri üzerinde uzaktan kumanda kazanmak için bir WinVNC sunucusunu da konuşlandırdı.
Saldırgan ayrıca, Sodamaster'ın arka kapıdan, en az 2020'den beri Cicada Threat Grubu tarafından kullanıldığına inanılan bir araç olan Sodamaster Backdoor'u da gerçekleştirdi.
Sodamaster sistem belleğinde (hatasız) çalışır ve bir Sandbox ortamının ipuçları için kayıt defterine bakarak veya yürütülmesini geciktirerek tespit etmek için donatılmıştır.
Kötü amaçlı yazılım, sistemle ilgili ayrıntıları da toplayabilir, koşu işlemlerini arayabilir ve komut ve kontrol sunucusundan çeşitli yükler indirin ve yürütür.
Bu kampanyada başka birçok yardımcı program gözlendi:
Saldırganların, keşfedilen mağdurların ağlarındaki sıkma süresi, dokuz ay sürdü, araştırmacılar bugün bir raporda not eder.
Bu kampanyada hedeflenen kuruluşların çoğu, hükümetle ilgili veya STK'lar (eğitim veya dini faaliyetlerde yer alıyor), ayrıca telekomünikasyon, yasal ve ilaç sektörlerindeki şirketler gibi görünmektedir.
Symantec araştırmacıları, ABD, Kanada, Hong Kong, Türkiye, İsrail, Hindistan, Karadağ ve İtalya'daki kurbanları sayan bu CICADA kampanyasının geniş coğrafyasını vurgulamaktadır.
Not, sadece bir kurban Japonya'dan, çoğu yıl boyunca Cicada Grubu'nun odağı olan bir ülke.
Japon bağlantılı şirketlere odaklanan bu gruptan önceki hedeflemeye kıyasla, bu kampanyadaki mağdurlar tehdit aktörünün ilgisini genişlettiğini göstermektedir.
Japon bağlantılı şirketlere odaklanırken, Cicada geçmiş sağlık, savunma, havacılık, finans, denizcilik, biyoteknoloji, enerji ve devlet sektörlerini hedeflemiştir.
APT10 Tehdit Grubu'nun en az iki üyesi, ABD Danışmanlık Bakanlığı'nın (MSS) Tianjin Devlet Güvenlik Bürosu'nun fikri mülkiyet sağlayıcılarından, ABD devlet kurumlarından Fikri Mülkiyet'i ve Gizli İş Bilgilerini Alınması için Bilgisayar Hack Faaliyetinin En Az İki Üyesi Ücretlendirilmiştir. ve 45'ten fazla teknoloji firması.
Çin Siberleri 'En Gelişmiş' Backdoor ile Govts Hedef
Çin Hacking Grubu, yeni 'Ateş Biber' Windows Rootkit'i kullanıyor
DPRK Hackers, Truva hakkındaki Defi Cüzdan Uygulamasını Kullanarak Kripto Varlıklarından Sonra Git
Microsoft Exchange iceDID Cevap Zinciri Kaçırma Saldırıları için Hedeflenen
Yılan Köpüklü Yazılım Kampanyası Çikolata Windows Paket Yöneticisi
Kaynak: Bleeping Computer