VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。
SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。
レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。
2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。
こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。
WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース)
3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a
フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。
中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。
悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。
WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。
2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg 15年くらい前に中途半端にITにかぶれたおじさんのパソコンに入っていることが多い 心配なら自分で本家のソース取ってきて
VLCメイクすれば良い 変なとこから改変VLCを落とさなきゃ大丈夫って話じゃなくて? >>1
要するにどういうことだよ?
VLCに仕込まれてたわけじゃないってこと?
VLCをアンインストール必要はあるんか? じゃあVLCの代わりに何を使えばいいんだよ
誰か教えてクレムリン VLCって実際に使ってみても大して便利でもないのに妙に高評価する奴が多かったんだよな
こういう理由だったわけ? >>1
>「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用
悪いのは、DLLだろ
DLLサイドローディングは、標的システムに悪性のDLLを配置し、
アプリケーションを通じてその悪性DLLを実行させる攻撃手法です。
悪性DLLを実行するアプリケーションは正当なものであるため、
セキュリティ検知を回避できるという特徴があります。 アイコンが道路のカラーコーンみたいなダサいVLCプレーヤーか…
これ壊れた動画とかも再生できるからいいんだけどな
SMプレーヤー(ちょっと名前がサドマゾみたいで笑える)だけ使えないようになるのかな…
どっちも動画の拡大とか回転機能があるから使ってた ソフトを削除したら勝手に必要なdllも連れて行って往生した思い出 >>20
10年以上前使ってたな
今は韓国製のGOMPlayer
これが一番使いやすい 動画は、ローカルファイルで見ることほとんどなくなったな
つべとか、ネットストリーミングが主流でしょ > 名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、
> 特別に細工された悪意のあるlibvlc.dllファイルによって配布されている
こんなもん どっからインストールしてきてるんだよw
アプリストアでVLCの名前で配布してたわけじゃないんだろ >>37
スパイウェアで一時期話題になった奴じゃん… あれはVLCと中国のせいだったんか
バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ 誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。
ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。 >>33
SMプレーヤーもエロ鑑賞で十分使えるよ
動画の途中で閉じてもその再生部分を記録していてそこから始まるし
拡大機能はキーボードのWボタン縮小はEボタンでできるから
勿論再生のスピード調整も思いのまま これは公式以外が配布してるやつを
インストールしたらダメだよってやつでは? >>15
お前が狙われることはないから安心して使っていいよ isoファイル開くのに活用してた記憶があるわ
あれヤバかったんだな VLCは一度は通る道やな
んでMPCとかに落ち着くと >>44
GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外
野良アプリインストールする奴なんて 完全に自己責任でしょ GoProの動画これでしかみれん…。
gomめっちゃ重いんだけど自分だけ? >>1は要するにカスタマイズされたやつじゃなくて公式サイトのだけインスコしろってこと >>40
>>54
PC初心者か?
全てのソフトはスパイウェアだのマルウェアだの言われてるぞ
EXEとか変な実行ファイルクリックしなきゃ問題ないんだよ >>46
んだな
つか公式以外でダウンロードしちゃダメだろ普通に メデイアクラシックなんたら使ってるけど危ないがいっぱいですか? 知らんメールやサイトでVLCに偽装したマルウェアダウンロードして使うようなアホがいるってことかな ワイヤレスセキュリティカメラでVLC使ってる人多そう 発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。 中露の連携で国をあげてサイバーテロ攻撃で
世界を破壊しようとしているの? PCの動画をクロムキャストで再生するの便利なんだけど何使えばいいんだよ >>68
解説サイトとかから誘導されて
そのままインストールしちゃう人とか
いないわけでもない 日本人には対処不能
どんなに泥棒に入られようとも鍵を掛けずに毎回大騒ぎしてる池沼だから PC初心者なのですが自首してきたほうが良いでしょうか? アンインストールしたからといって
トロイの木馬までアンインストールしてくれるとは限らない ハッカーグループより>>1の方が悪意があるというか、無知というか…
まぁVLCなんか使わないけどさ >>76
泥棒に対抗するために銃で武装して身内殺してしまうよりマシ withSecureは、ぱよちんでお馴染み「F-Secure」の名称変更した会社
ttps://cloud.watch.impress.co.jp/docs/news/1397156.html >>4
そう思わせておいて味方が仕込んでくることもあるから油断できない どのプレイヤーもネット接続させなければいいだけだろ
FWで遮断しとけ >>68
そんな人が結構?いるってことにびっくりするよね
公式ストアからの署名付き以外で よう知らんバイナリなんかインストール・実行できるもんだ 自分は昔からアプリ入れるときは開発国まで確認して入れてるよ
中華ソフトは絶対入れないわ
まあ唯一小中華系のLINEは入れてるけど >>43
それはバッファローのファームがおかしいだけやろw クリスマスになるとハッキングされて帽子被ってるよな まあ情弱はこういうフリーツールはむやみに使わないに限る >>90
バッファローは分解してみるとわかるけど、
随分いい加減に作ってるなという印象ww で、マイクロソフトのdefenderで感知してくれるん? >>68
フリーソフトを紹介するまとめサイト的な物を悪意の有る奴が作って本家と似たサイトに誘導して配布してそうだな ■ このスレッドは過去ログ倉庫に格納されています