VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]

[0001 樽悶 ★ 2023/03/20(月) 19:04:26.42 ID:00zE9szf9]

　ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

　SILKLOADERはローダー（Loader）と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

　レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence （WithIntel）のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

　2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット（主に香港と中国）への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

　こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

　WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な（off the shelf）ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。（以下ソース）

3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a

フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日（現地時間）、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road｜WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。

中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド＆コントロール（C2: Command and Control）サーバに接続することが確認されている。

WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。

2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg

[0002 ウィズコロナの名無しさん 2023/03/20(月) 19:05:33.18 ID:L8H0cMRi0]

トロイの本馬

[0003 ウィズコロナの名無しさん 2023/03/20(月) 19:05:43.31 ID:uuuMKxNw0]

何故三角コーンみたいなアイコン

[0004 ウィズコロナの名無しさん 2023/03/20(月) 19:05:54.09 ID:jGQSwZHw0]

ネットの三悪は中露韓で決定か

[0005 ウィズコロナの名無しさん 2023/03/20(月) 19:06:24.48 ID:p70X+RiC0]

中国製アプリって全部スパイウェアだろ

[0006 ウィズコロナの名無しさん 2023/03/20(月) 19:06:28.68 ID:efTRcaib0]

VLCいかんじゃん

[0007 ウィズコロナの名無しさん 2023/03/20(月) 19:06:34.15 ID:VMD533lO0]

VLCおまえもか！(´Д⊂ｸﾞｽﾝ

[0008 ウィズコロナの名無しさん 2023/03/20(月) 19:06:46.21 ID:jNNWaArV0]

オープンソースで

[0009 ウィズコロナの名無しさん 2023/03/20(月) 19:07:05.39 ID:q3fPIclE0]

軽いから便利っちゃあ便利だがしゃーねぇな消すか

[0010 ウィズコロナの名無しさん 2023/03/20(月) 19:07:16.60 ID:onQa2dhR0]

VLC使えないだろう

[0011 ウィズコロナの名無しさん 2023/03/20(月) 19:07:51.64 ID:kMILSDaj0]

MPC-BEは大丈夫だろうな？

[0012 ウィズコロナの名無しさん 2023/03/20(月) 19:07:56.61 ID:Ct7jZNTF0]

VLC好きなのに～(´・ω・｀)

[0013 ウィズコロナの名無しさん 2023/03/20(月) 19:08:21.35 ID:sa3ZgTIV0]

あゝあのＡＶ塗れなやつ？

[0014 ウィズコロナの名無しさん 2023/03/20(月) 19:09:15.27 ID:2gWQ6oWj0]

VLCでエロ見てたのがばれるん？

[0015 ウィズコロナの名無しさん 2023/03/20(月) 19:09:41.32 ID:DpcHgW7V0]

え？VLCアンイスしたほうがいいの？

[0016 ウィズコロナの名無しさん 2023/03/20(月) 19:10:18.70 ID:KUFa1o260]

>>4
中露韓朝の四天王だよ

[0017 ウィズコロナの名無しさん 2023/03/20(月) 19:10:19.82 ID:PxCC9/gP0]

これ一番使いやすいのに

[0018 ウィズコロナの名無しさん 2023/03/20(月) 19:10:36.88 ID:TPIy73CO0]

15年くらい前に中途半端にITにかぶれたおじさんのパソコンに入っていることが多い

[0019 ウィズコロナの名無しさん 2023/03/20(月) 19:10:42.86 ID:Bz0SS3D30]

linuxのVLCは大丈夫なの？

[0020 ウィズコロナの名無しさん 2023/03/20(月) 19:10:43.71 ID:1obLItk30]

まだ使ってる人いるんか

[0021 ウィズコロナの名無しさん 2023/03/20(月) 19:10:57.74 ID:jNNWaArV0]

心配なら自分で本家のソース取ってきて
VLCメイクすれば良い

[0022 ウィズコロナの名無しさん 2023/03/20(月) 19:11:29.50 ID:KxaHGGRC0]

変なとこから改変VLCを落とさなきゃ大丈夫って話じゃなくて？

[0023 ウィズコロナの名無しさん 2023/03/20(月) 19:11:48.56 ID:TG2CDldb0]

>>1
要するにどういうことだよ？

VLCに仕込まれてたわけじゃないってこと？
VLCをアンインストール必要はあるんか？

[0024 ウィズコロナの名無しさん 2023/03/20(月) 19:12:16.01 ID:A89sJ3Cr0]

じゃあVLCの代わりに何を使えばいいんだよ
誰か教えてクレムリン

[0025 ウィズコロナの名無しさん 2023/03/20(月) 19:13:02.44 ID:E65GYxIq0]

残念MPCでした

[0026 ウィズコロナの名無しさん 2023/03/20(月) 19:13:05.16 ID:yNrSuyE30]

入れてたから今アンインスコしたわ

[0027 ウィズコロナの名無しさん 2023/03/20(月) 19:13:26.51 ID:YSt3JZ7g0]

VLCって実際に使ってみても大して便利でもないのに妙に高評価する奴が多かったんだよな
こういう理由だったわけ？

[0028 ウィズコロナの名無しさん 2023/03/20(月) 19:13:39.00 ID:jNNWaArV0]

>>1
>「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用
悪いのは、DLLだろ


DLLサイドローディングは、標的システムに悪性のDLLを配置し、
アプリケーションを通じてその悪性DLLを実行させる攻撃手法です。
悪性DLLを実行するアプリケーションは正当なものであるため、
セキュリティ検知を回避できるという特徴があります。

[0029 ウィズコロナの名無しさん 2023/03/20(月) 19:14:04.27 ID:Z4PyLvux0]

>>5
VLCはフランス製でオープンソースな

[0030 ウィズコロナの名無しさん 2023/03/20(月) 19:14:26.09 ID:MSrZZ/q50]

真のおじさんが信じてるのはMPCだけ

[0031 ウィズコロナの名無しさん 2023/03/20(月) 19:15:01.83 ID:O1g6JItr0]

日本人ならQonohaよな

[0032 ウィズコロナの名無しさん 2023/03/20(月) 19:15:13.04 ID:saAnoEqh0]

アイコンが道路のカラーコーンみたいなダサいＶＬＣプレーヤーか…
これ壊れた動画とかも再生できるからいいんだけどな
ＳＭプレーヤー（ちょっと名前がサドマゾみたいで笑える）だけ使えないようになるのかな…
どっちも動画の拡大とか回転機能があるから使ってた

[0033 ウィズコロナの名無しさん 2023/03/20(月) 19:15:15.25 ID:FNjnJcYI0]

エロい人教えてよ
じゃあ何使えばいいんだよ

[0034 ウィズコロナの名無しさん 2023/03/20(月) 19:15:45.59 ID:XGw9gtOs0]

iOSとかMacとかのVLCはどうなるのかな？

[0035 ウィズコロナの名無しさん 2023/03/20(月) 19:15:59.32 ID:onQa2dhR0]

ソフトを削除したら勝手に必要なdllも連れて行って往生した思い出

[0036 ウィズコロナの名無しさん 2023/03/20(月) 19:16:30.65 ID:jNNWaArV0]

>>33
VLCを使え

[0037 ウィズコロナの名無しさん 2023/03/20(月) 19:16:37.32 ID:Z4PyLvux0]

>>20
10年以上前使ってたな
今は韓国製のGOMPlayer
これが一番使いやすい

[0038 ウィズコロナの名無しさん 2023/03/20(月) 19:17:21.05 ID:gDPiF2P10]

動画は、ローカルファイルで見ることほとんどなくなったな
つべとか、ネットストリーミングが主流でしょ

[0039 ウィズコロナの名無しさん 2023/03/20(月) 19:17:35.93 ID:dgAhY/U60]

> 名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、
> 特別に細工された悪意のあるlibvlc.dllファイルによって配布されている

こんなもん どっからインストールしてきてるんだよｗ
アプリストアでVLCの名前で配布してたわけじゃないんだろ

[0040 ウィズコロナの名無しさん 2023/03/20(月) 19:17:36.64 ID:jGQSwZHw0]

>>37
スパイウェアで一時期話題になった奴じゃん…

[0041 ウィズコロナの名無しさん 2023/03/20(月) 19:17:46.87 ID:JeM+LfTc0]

破損したエロ動画の修復に重宝してるから気になるぞ

[0042 ウィズコロナの名無しさん 2023/03/20(月) 19:18:41.88 ID:H7YjcNuH0]

libvlc.dllを消せばいいの？

[0043 ウィズコロナの名無しさん 2023/03/20(月) 19:18:49.21 ID:mFp1AjAp0]

あれはVLCと中国のせいだったんか
バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ

[0044 ウィズコロナの名無しさん 2023/03/20(月) 19:19:11.60 ID:jNNWaArV0]

誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。
ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。

[0045 ウィズコロナの名無しさん 2023/03/20(月) 19:19:27.78 ID:saAnoEqh0]

>>33
ＳＭプレーヤーもエロ鑑賞で十分使えるよ
動画の途中で閉じてもその再生部分を記録していてそこから始まるし
拡大機能はキーボードのＷボタン縮小はＥボタンでできるから
勿論再生のスピード調整も思いのまま

[0046 ウィズコロナの名無しさん 2023/03/20(月) 19:19:30.62 ID:5T6qWtTv0]

これは公式以外が配布してるやつを
インストールしたらダメだよってやつでは?

[0047 ウィズコロナの名無しさん 2023/03/20(月) 19:19:32.54 ID:Z4PyLvux0]

>>15
お前が狙われることはないから安心して使っていいよ

[0048 ウィズコロナの名無しさん 2023/03/20(月) 19:19:42.89 ID:5u9Cmnve0]

>>28
どっちにしろVLCは削除した方がいい

[0049 ウィズコロナの名無しさん 2023/03/20(月) 19:19:58.67 ID:40qmumjP0]

VLCなんか、前から怪しいから使ってないわ

[0050 ウィズコロナの名無しさん 2023/03/20(月) 19:20:40.14 ID:k+TPe23x0]

VLCに足向けて寝れないMacユーザー.avi

[0051 ウィズコロナの名無しさん 2023/03/20(月) 19:21:01.51 ID:1gUbBgdQ0]

isoファイル開くのに活用してた記憶があるわ
あれヤバかったんだな

[0052 ウィズコロナの名無しさん 2023/03/20(月) 19:21:10.24 ID:noEmbeNL0]

使ってるわ
PC燃やしたらええんか？🖥🔥🔥

[0053 ウィズコロナの名無しさん 2023/03/20(月) 19:21:21.88 ID:UZz71bUI0]

VLCは一度は通る道やな
んでMPCとかに落ち着くと

[0054 ウィズコロナの名無しさん 2023/03/20(月) 19:21:40.49 ID:kfZuV4ws0]

>>37
それも駄目な奴

[0055 ウィズコロナの名無しさん 2023/03/20(月) 19:22:11.68 ID:8Fec4A8J0]

使ってた事もあったが存在忘れてたわ

[0056 ウィズコロナの名無しさん 2023/03/20(月) 19:22:13.40 ID:jNNWaArV0]

>>48
本家以外の使ってる人はね

[0057 ウィズコロナの名無しさん 2023/03/20(月) 19:22:17.38 ID:dgAhY/U60]

>>44
GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外
野良アプリインストールする奴なんて 完全に自己責任でしょ

[0058 ウィズコロナの名無しさん 2023/03/20(月) 19:22:17.83 ID:UZz71bUI0]

>>37
あーあ

[0059 ウィズコロナの名無しさん 2023/03/20(月) 19:23:40.10 ID:PjNp5ptL0]

GoProの動画これでしかみれん…。
gomめっちゃ重いんだけど自分だけ？

[0060 ウィズコロナの名無しさん 2023/03/20(月) 19:23:44.47 ID:S0v0+PUL0]

>>14
撮影されてる

[0061 ウィズコロナの名無しさん 2023/03/20(月) 19:23:46.45 ID:saAnoEqh0]

>>37
（ノo`）ｱﾁｬｰ.

[0062 ウィズコロナの名無しさん 2023/03/20(月) 19:24:30.62 ID:+upMTKEa0]

>>1は要するにカスタマイズされたやつじゃなくて公式サイトのだけインスコしろってこと

[0063 ウィズコロナの名無しさん 2023/03/20(月) 19:24:50.35 ID:Z4PyLvux0]

>>40
>>54
PC初心者か？
全てのソフトはスパイウェアだのマルウェアだの言われてるぞ
EXEとか変な実行ファイルクリックしなきゃ問題ないんだよ

[0064 ウィズコロナの名無しさん 2023/03/20(月) 19:25:02.52 ID:0w+XFZna0]

>>46
んだな
つか公式以外でダウンロードしちゃダメだろ普通に

[0065 ウィズコロナの名無しさん 2023/03/20(月) 19:25:10.80 ID:S+aXNImI0]

メデイアクラシックなんたら使ってるけど危ないがいっぱいですか？

[0066 ウィズコロナの名無しさん 2023/03/20(月) 19:26:03.28 ID:7SwTHZEa0]

>>63
つまりソフトを使うな

[0067 ウィズコロナの名無しさん 2023/03/20(月) 19:26:18.38 ID:wYXB82Yo0]

>>59
せめて12世代のi7と3080使えよ

[0068 ウィズコロナの名無しさん 2023/03/20(月) 19:26:26.28 ID:8E+GPE4a0]

知らんメールやサイトでVLCに偽装したマルウェアダウンロードして使うようなアホがいるってことかな

[0069 ウィズコロナの名無しさん 2023/03/20(月) 19:26:43.29 ID:oK5ORYg50]

ワイヤレスセキュリティカメラでVLC使ってる人多そう

[0070 ウィズコロナの名無しさん 2023/03/20(月) 19:27:13.18 ID:krYgJnTq0]

発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

[0071 ウィズコロナの名無しさん 2023/03/20(月) 19:27:22.91 ID:xeIIODA70]

中露の連携で国をあげてサイバーテロ攻撃で
世界を破壊しようとしているの？

[0072 ウィズコロナの名無しさん 2023/03/20(月) 19:27:25.85 ID:S0v0+PUL0]

>>69
それわいや

[0073 ウィズコロナの名無しさん 2023/03/20(月) 19:27:36.07 ID:Q9KzQSKb0]

VLC使ってる情弱おる？

[0074 ウィズコロナの名無しさん 2023/03/20(月) 19:27:43.50 ID:Zkow5pX60]

PCの動画をクロムキャストで再生するの便利なんだけど何使えばいいんだよ

[0075 ウィズコロナの名無しさん 2023/03/20(月) 19:28:20.77 ID:jNNWaArV0]

>>68
解説サイトとかから誘導されて
そのままインストールしちゃう人とか
いないわけでもない

[0076 ウィズコロナの名無しさん 2023/03/20(月) 19:28:48.31 ID:+yxpCKv/0]

日本人には対処不能
どんなに泥棒に入られようとも鍵を掛けずに毎回大騒ぎしてる池沼だから

[0077 ウィズコロナの名無しさん 2023/03/20(月) 19:28:53.70 ID:SplwX9LY0]

PC初心者なのですが自首してきたほうが良いでしょうか？

[0078 ウィズコロナの名無しさん 2023/03/20(月) 19:29:00.62 ID:sG1Xe6RY0]

アンインストールしたからといって
トロイの木馬までアンインストールしてくれるとは限らない

[0079 ウィズコロナの名無しさん 2023/03/20(月) 19:29:02.18 ID:JeM+LfTc0]

>>44
なーんだ、解散

[0080 ウィズコロナの名無しさん 2023/03/20(月) 19:29:03.30 ID:K+HbUHrB0]

溜めたエロ動画はいつもVLCで観てるぞ

[0081 ウィズコロナの名無しさん 2023/03/20(月) 19:29:22.09 ID:FmR50XTW0]

ハッカーグループより>>1の方が悪意があるというか、無知というか…
まぁVLCなんか使わないけどさ

[0082 ウィズコロナの名無しさん 2023/03/20(月) 19:29:50.90 ID:oK5ORYg50]

>>76
泥棒に対抗するために銃で武装して身内殺してしまうよりマシ

[0083 ウィズコロナの名無しさん 2023/03/20(月) 19:29:52.83 ID:24X6xoRH0]

withSecureは、ぱよちんでお馴染み「F-Secure」の名称変更した会社
ttps://cloud.watch.impress.co.jp/docs/news/1397156.html

[0084 ウィズコロナの名無しさん 2023/03/20(月) 19:30:09.56 ID:T6OJQd+A0]

>>4
そう思わせておいて味方が仕込んでくることもあるから油断できない

[0085 ウィズコロナの名無しさん 2023/03/20(月) 19:30:48.58 ID:4OldWjUs0]

どのプレイヤーもネット接続させなければいいだけだろ
FWで遮断しとけ

[0086 ウィズコロナの名無しさん 2023/03/20(月) 19:31:00.47 ID:dgAhY/U60]

>>68
そんな人が結構?いるってことにびっくりするよね
公式ストアからの署名付き以外で よう知らんバイナリなんかインストール・実行できるもんだ

[0087 ウィズコロナの名無しさん 2023/03/20(月) 19:31:28.68 ID:QJEeHO2R0]

自分は昔からアプリ入れるときは開発国まで確認して入れてるよ
中華ソフトは絶対入れないわ
まあ唯一小中華系のLINEは入れてるけど

[0088 ウィズコロナの名無しさん 2023/03/20(月) 19:31:35.48 ID:Lhupha9+0]

どうやってエロ動画見ろと言うんだ

[0089 ウィズコロナの名無しさん 2023/03/20(月) 19:31:47.57 ID:Ji7JgG4r0]

MPC-BEの時代が来たか

[0090 ウィズコロナの名無しさん 2023/03/20(月) 19:32:24.56 ID:BJIIN2MA0]

>>43
それはバッファローのファームがおかしいだけやろw

[0091 ウィズコロナの名無しさん 2023/03/20(月) 19:32:41.59 ID:Pfnnm/fF0]

クリスマスになるとハッキングされて帽子被ってるよな

[0092 ウィズコロナの名無しさん 2023/03/20(月) 19:32:50.20 ID:0w+XFZna0]

まあ情弱はこういうフリーツールはむやみに使わないに限る

[0093 ウィズコロナの名無しさん 2023/03/20(月) 19:32:54.19 ID:VvsEUK5V0]

もうエロ動画と一緒に消すしかないね

[0094 ウィズコロナの名無しさん 2023/03/20(月) 19:33:36.56 ID:lEVyRbFK0]

逆に何だったらいいんだよ

[0095 ウィズコロナの名無しさん 2023/03/20(月) 19:34:12.39 ID:0ghbzV630]

>>90
バッファローは分解してみるとわかるけど、
随分いい加減に作ってるなという印象ww

[0096 ウィズコロナの名無しさん 2023/03/20(月) 19:34:16.75 ID:vY/muXUr0]

ｘｐユーザーはまたも大勝利

[0097 ウィズコロナの名無しさん 2023/03/20(月) 19:34:45.82 ID:jlaVZeIW0]

で、マイクロソフトのdefenderで感知してくれるん？

[0098 ウィズコロナの名無しさん 2023/03/20(月) 19:34:47.78 ID:WlrnQQV50]

>>87
台無しじゃねーか

[0099 ウィズコロナの名無しさん 2023/03/20(月) 19:35:34.03 ID:H7YjcNuH0]

>>68
フリーソフトを紹介するまとめサイト的な物を悪意の有る奴が作って本家と似たサイトに誘導して配布してそうだな

[0100 ウィズコロナの名無しさん 2023/03/20(月) 19:35:46.15 ID:ByUAv2ew0]

>>83
オッオー

[0101 ウィズコロナの名無しさん 2023/03/20(月) 19:36:04.91 ID:VTzqvO6m0]

>>37
ガチのスパイウェアじゃん
情弱過ぎるわ