Centrum wiedzy o technologiach i pracy w IT

Grupa hakerska wykorzystuje dziury w VLC Media Player

Grupy hakerskie wykorzystują różne metody rozprzestrzeniania infekcji. Często do infekowania systemów wykorzystują swoje własne narzędzia. Równie często jednak używają dziur w zabezpieczeniach zwykłych programów, aby uzyskać dostęp do systemu użytkownika. Badacze bezpieczeństwa odkryli długoterminową operację, w której przestępcy wykorzystywali VLC Media Player do uruchamiania własnego narzędzia.

Sprawdź: Multisearch – nowa funkcja wyszukiwarki Google Lens

Opis odkrycia

Badacze bezpieczeństwa z firmy Symantec odkryli atak na początku 2022 roku. Pierwsze ślady włamań z użyciem tej metody odnaleziono już w połowie 2021 roku. Firma Symantec twierdzi, że w niektórych przypadkach przestępcy pozostawali w ukryciu nawet 9 miesięcy, a niewykluczone, że ataki trwają do dziś.

Odkryta kampania służyła najprawdopodobniej szpiegostwu. Celem ataków były różne jednostki pracujące w rządach, mające związek z prawem, organizacje religijne oraz pożytku publicznego. Ataki wykryto na trzech kontynentach, ale niewykluczone, że obejmowały swoim zasięgiem szerszy obszar.

Atak badacze przypisali grupie Cicada, aktywnej przynajmniej od 2006 roku.

Metoda ataku

Istnieją dowody wskazujące, że atakujący wykorzystali znane dziury bezpieczeństwa w serwerze Microsoft Exchange, aby uzyskać nieuprawniony dostęp do sieci wewnętrznych. Po uzyskaniu dostępu do podatnej maszyny, atakujący wykorzystali popularny odtwarzacz VLC do uruchomienia swojego własnego szkodliwego programu, tzw. loadera.

Wykorzystali do tego metodę nazwaną DLL side-loading. Poprzez dostarczenie do komputera ofiary szkodliwej biblioteki systemowej w formacie DLL (skąd nazwa ataku). Atakujący umieścili bibliotekę w odpowiedniej lokalizacji, dzięki czemu została wykorzystana przez program VLC w momencie jego uruchomienia. Taki sposób działania pozwala przestępcom podszywać się pod bezpieczne aplikacje, a następnie ukrywać ślady obecności w systemie ofiary.

Następnie hakerzy wykorzystywali zestaw dodatkowych narzędzi, aby przeprowadzać kolejne działania w sieci ofiar. Zestaw wykorzystanych przez nich narzędzi zawiera m.in. oprogramowanie do rozpakowywania i pakowania plików, narzędzia badające konfigurację zainfekowanych sieci i maszyn oraz programy pozwalające uruchamiać zdalnie polecenia.

Zobacz: DALL-E 2 – nowa wersja generatora obrazów

Używam VLC Media Player – czy jest się martwić?

Ponieważ atakujący używali niezmodyfikowanej wersji programu VLC Media Player, nie wykorzystano żadnych specyficznych luk w programie. Przestępcy wykorzystali podatności systemu operacyjnego, na które sami raczej nie mamy wpływu.

Ponieważ jednak istnieją dowody, że to przez niezałatane dziury, to warto dbać o regularne aktualizacje.

Dodatkowo – celem była określona grupa. Jeśli do niej nie należysz, to raczej nie ma się czego obawiać.

Total
0
Shares
_podobne artykuły