VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]

[0001 樽悶 ★ 2023/03/20(月) 19:04:26.42 ID:00zE9szf9]

　ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

　SILKLOADERはローダー（Loader）と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

　レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence （WithIntel）のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

　2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット（主に香港と中国）への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

　こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

　WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な（off the shelf）ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。（以下ソース）

3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a

フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日（現地時間）、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road｜WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。

中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド＆コントロール（C2: Command and Control）サーバに接続することが確認されている。

WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。

2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg

[0303 ウィズコロナの名無しさん 2023/03/20(月) 22:39:14.67 ID:CXK2qbMK0]

中華製防犯カメラの録画ファイルはVLCでしか再生できないワロタぁ！

[0304 ウィズコロナの名無しさん 2023/03/20(月) 22:39:53.35 ID:7nqXjpw10]

ずいぶん前にちょっとだけ使ってみたけどなんかやな感じがして消した
俺の直観も意外とやるもんだと思った

[0305 ウィズコロナの名無しさん 2023/03/20(月) 22:44:47.72 ID:K+HbUHrB0]

VLC落としの陰謀スレかよ

[0306 ウィズコロナの名無しさん 2023/03/20(月) 22:46:20.74 ID:1XmDTqHb0]

マジかよこれからはGOMプレイヤーにするわ

[0307 ウィズコロナの名無しさん 2023/03/20(月) 22:51:24.87 ID:Wi89f3Pg0]

まともなプレーヤーないままだな

[0308 ウィズコロナの名無しさん 2023/03/20(月) 22:51:59.92 ID:gLqvrU5s0]

中共＆露西亜は全人類の敵。

[0309 ウィズコロナの名無しさん 2023/03/20(月) 22:53:06.68 ID:DBQdr6KP0]

>>91
わろたw確かに

[0310 ウィズコロナの名無しさん 2023/03/20(月) 22:53:14.70 ID:MjAI8V4R0]

有料でも良いからこれなら間違いないってのはないの？

[0311 ウィズコロナの名無しさん 2023/03/20(月) 22:59:24.18 ID:8m0cHbNv0]

>>306
俺もGOM使ってる
VLCなんか使いにくいんだよな

[0312 ウィズコロナの名無しさん 2023/03/20(月) 22:59:44.75 ID:CE3p22AB0]

どこから落としたバイナリでこうなるんだ？
githubからソースで落とした方がいいつーことか
でも家のマシンにビルド環境なんか作ってねえ

[0313 ウィズコロナの名無しさん 2023/03/20(月) 23:01:30.33 ID:iwo7IDPk0]

>>292
FireStickに入れるとPCのエロ動画再生マシンになって重宝してる

[0314 ウィズコロナの名無しさん 2023/03/20(月) 23:01:42.20 ID:CE3p22AB0]

チョンコのゴム入れるぐらいならビルド環境整えるか

[0315 ウィズコロナの名無しさん 2023/03/20(月) 23:02:45.38 ID:OLHVZ/o20]

使いづらいよVLC

[0316 ウィズコロナの名無しさん 2023/03/20(月) 23:03:19.41 ID:4N2y+kv40]

自分でビルドしてるからセーフ

[0317 ウィズコロナの名無しさん 2023/03/20(月) 23:03:55.18 ID:688lc55h0]

GOMって統一信者御用達じゃん

[0318 ウィズコロナの名無しさん 2023/03/20(月) 23:04:26.58 ID:pHgqzRwC0]

MPC-BE民わい高みの見物

[0319 ウィズコロナの名無しさん 2023/03/20(月) 23:06:26.52 ID:8m0cHbNv0]

>>314
でもLINEは使ってるんでしょ？
プ

[0320 ウィズコロナの名無しさん 2023/03/20(月) 23:08:56.96 ID:PSyh9LDP0]

>>318
MPCもDLL読み込むから同じこと出来るんじゃね？

[0321 ウィズコロナの名無しさん 2023/03/20(月) 23:10:27.70 ID:CE3p22AB0]

>>319
いいえ
残念でしたね

[0322 ウィズコロナの名無しさん 2023/03/20(月) 23:11:04.93 ID:8m0cHbNv0]

>>321
友達居ない人は気楽でいいね

[0323 ウィズコロナの名無しさん 2023/03/20(月) 23:13:40.04 ID:ycL8Lssi0]

毎年冬になるとアイコンが何者かにすり替えられる

[0324 ウィズコロナの名無しさん 2023/03/20(月) 23:17:33.79 ID:g11VdPt10]

いまchatgptで検索したら偽サイト臭いのばっかり出てくるのよな

[0325 ウィズコロナの名無しさん 2023/03/20(月) 23:27:41.56 ID:/egXS8i80]

VLCは他のプレイヤーだと見られない壊れた動画の再生とか修復には便利

[0326 ウィズコロナの名無しさん 2023/03/20(月) 23:29:43.31 ID:vze97yN20]

>>1を読んでもさっぱり分からん

[0327 ウィズコロナの名無しさん 2023/03/20(月) 23:30:02.68 ID:91iJAuWu0]

YARAIインストールしているんだが、防げないのかな

[0328 ウィズコロナの名無しさん 2023/03/20(月) 23:31:34.09 ID:vUsV3Y6Z0]

おいおい、俺愛用してたじゃん
やべえよ

[0329 ウィズコロナの名無しさん 2023/03/20(月) 23:33:45.66 ID:jEsjjUuP0]

懐かしいな暫く使ってた。パイロンみたいなマーク

[0330 ウィズコロナの名無しさん 2023/03/20(月) 23:38:00.72 ID:jNNWaArV0]

>>326
怪しい所から落としたVLCをインストールしたらウィルスに感染した！
だから、本家公式サイトから落としたVLCをインストールするとウィルスに感染して危険だ！
と誤認させたい記事

[0331 ウィズコロナの名無しさん 2023/03/20(月) 23:42:34.46 ID:5lDUFSjE0]

アンインストールしてしまったが
マイクロソフトストアとか
窓の杜からなら大丈夫なのかな

[0332 ウィズコロナの名無しさん 2023/03/20(月) 23:46:06.53 ID:2NoAAhxh0]

VLCがダメでもGOMだけは前の件で懲りたから絶対に嫌だ

[0333 ウィズコロナの名無しさん 2023/03/20(月) 23:46:38.10 ID:5o29TjPC0]

>>1
共産主義者は単なるアナキスト無政府主義者

[0334 ウィズコロナの名無しさん 2023/03/20(月) 23:48:57.82 ID:OW5039Sa0]

いつも公式から落として入れてるから大丈夫

[0335 ウィズコロナの名無しさん 2023/03/20(月) 23:49:59.21 ID:juw9XYJz0]

>>4
自民のマイナポータルも忘れるな

[0336 ウィズコロナの名無しさん 2023/03/20(月) 23:50:55.79 ID:N1fQNcFv0]

あれ、DVDからリッビングしたTSファイル再生しようとしたらクラッシュして

アンインストールして再インストールしてもまたクラッシュしたんだけど
この件となんか関係ある？

仕方なくMPCとGOMで再生してみたら再生できたけど

[0337 ウィズコロナの名無しさん 2023/03/20(月) 23:56:04.58 ID:DBQdr6KP0]

アンインストールしちゃった

[0338 ウィズコロナの名無しさん 2023/03/20(月) 23:56:30.30 ID:BTILQ43O0]

fireStick用のVLCとかappStoreのiOS用のとかは大丈夫なんかね？
特にfireStick用とか公式かどうか分かりづらい

[0339 ウィズコロナの名無しさん 2023/03/20(月) 23:59:25.25 ID:NOFOwbIe0]

>>37
Gom昔は使いやすかったんだが、今は更新するたびに広告やらなんやら余計な機能ついてくるから今のGomは使う気にならん

[0340 ウィズコロナの名無しさん 2023/03/21(火) 00:01:36.46 ID:qeaPJPjZ0]

昔はhakobako使ってた

[0341 ウィズコロナの名無しさん 2023/03/21(火) 00:01:53.46 ID:xQzqKSyL0]

>>37
壺鮮人御用達やないかい。

[0342 ウィズコロナの名無しさん 2023/03/21(火) 00:03:57.05 ID:NVQAe+Ey0]

RealOne → GOM → VLCだったわ
次は何がおすすめかね？

[0343 ウィズコロナの名無しさん 2023/03/21(火) 00:04:33.60 ID:WLnYmlwn0]

>>325
悪食なのがいいよな
DL途中のファイルでも再生できる

[0344 ウィズコロナの名無しさん 2023/03/21(火) 00:09:15.78 ID:Bk3MckCy0]

>>339
え？ずーっとGom使ってるけど広告なんて付いてないぞ？

[0345 ウィズコロナの名無しさん 2023/03/21(火) 00:11:42.47 ID:xS1Uxw0j0]

>>151
IINAに帰ろ

[0346 ウィズコロナの名無しさん 2023/03/21(火) 00:18:03.98 ID:Bk3MckCy0]

>>233
情報抜かれるー！とか騒いでるアホが多いけど
Googleに抜かれまくってることに気付いてないのが笑えるな

[0347 ウィズコロナの名無しさん 2023/03/21(火) 00:18:37.53 ID:8OjQV+tV0]

VLCはWMVの再生がクソい
それ以外は特に問題なく使えてる

[0348 ウィズコロナの名無しさん 2023/03/21(火) 00:18:45.78 ID:JoO5nKkT0]

androidのアプリはええの？

[0349 ウィズコロナの名無しさん 2023/03/21(火) 00:19:12.69 ID:ecErzBIw0]

>>4
おまえらが抜けてる

[0350 ウィズコロナの名無しさん 2023/03/21(火) 00:24:10.53 ID:D99jg7g+0]

たぶん10年くらい前に公式から落とした奴だから大丈夫だろう

[0351 ウィズコロナの名無しさん 2023/03/21(火) 00:25:17.40 ID:8RvuuHtG0]

DVDが再生できてインターレース解除がやり易いんだよな
エロDVDとかコンサート映像をヌルヌルで観るには必要だから使い続ける

[0352 ウィズコロナの名無しさん 2023/03/21(火) 00:38:12.63 ID:mtYToYOf0]

Charmap.exeに名前変えてる時点でWindowsのシステムファイルと誤認させてDLさせてるんでしょ

[0353 ウィズコロナの名無しさん 2023/03/21(火) 00:45:01.37 ID:bnEwTPby0]

最近はIINA つかってる

[0354 ウィズコロナの名無しさん 2023/03/21(火) 00:58:31.48 ID:uXN5kV1Q0]

iOSやAndroidに入れてた奴全員アウト
dllハンドラーで全員感染
違法動画奴全員死亡

[0355 ウィズコロナの名無しさん 2023/03/21(火) 00:59:55.29 ID:uXN5kV1Q0]

iOSはシステムバック復旧か
Androidはクローンに上書きしないとプロセスから消せない

[0356 ウィズコロナの名無しさん 2023/03/21(火) 01:00:54.78 ID:uXN5kV1Q0]

vlcはデフォルトでdllを更新する
よってiOSやAndroidで入れていた人はアウト

[0357 ウィズコロナの名無しさん 2023/03/21(火) 01:07:03.89 ID:R00He4ZP0]

>>118
すべてが繋がるのか

[0358 ウィズコロナの名無しさん 2023/03/21(火) 01:11:28.79 ID:mHmFz4zf0]

VNCしか使ったことねーわ

[0359 ウィズコロナの名無しさん 2023/03/21(火) 01:14:47.05 ID:cC66LezJ0]

あらゆる悪事の背後には必ず中露がいるよな

[0360 ウィズコロナの名無しさん 2023/03/21(火) 01:16:02.53 ID:PXab+zvD0]

>>271
自動アップデートが危ないって話もある
経路やサーバーが偽装されてアップデートが乗っ取られてたら変なもの入れられる
Windows Updateでも起こりうる

スマホは設定もできずに勝手にアップデート
スマホは権限なさ過ぎてウイルスソフトもなにも対処できない

[0361 ウィズコロナの名無しさん 2023/03/21(火) 01:16:41.34 ID:1mDtDvXc0]

だからWindowsとかのアプリはクソなんだよ

[0362 ウィズコロナの名無しさん 2023/03/21(火) 01:25:30.67 ID:VWit+6sf0]

サーバーの乗っ取りが一番こわい

だがパッケージや署名など厳格にしなく
dllなどでどんどん拡張できるのは旧来からの魅力だ

[0363 ウィズコロナの名無しさん 2023/03/21(火) 01:26:18.26 ID:guv9eEL/0]

>>295
さよう.か。
仲間がいて 嬉しいよ

[0364 ウィズコロナの名無しさん 2023/03/21(火) 01:29:35.42 ID:V1ilDLA90]

何も問題はない
こんな貧乏人、小市民を攻撃したところで得られるものは何もないだろう

[0365 ウィズコロナの名無しさん 2023/03/21(火) 01:37:45.60 ID:M2CSjy/l0]

>>4
朝韓は中国の一部
三悪は中露ともう一国はどこだろ？

[0366 ウィズコロナの名無しさん 2023/03/21(火) 01:51:21.12 ID:9sbInRDf0]

>>137
あることあることしかないじゃん
公式から落としたのにダメだったのってこれくらいしか覚えてない

[0367 ウィズコロナの名無しさん 2023/03/21(火) 02:15:07.18 ID:Hn2Q2mjR0]

シルクワームロード

[0368 ウィズコロナの名無しさん 2023/03/21(火) 02:18:40.96 ID:xiDlC4680]

スレタイがミスリード
ちゃんと野良VLCって書いとけや

[0369 ウィズコロナの名無しさん 2023/03/21(火) 02:52:57.58 ID:PXab+zvD0]

>>335
あれも中韓だから

[0370 ウィズコロナの名無しさん 2023/03/21(火) 03:00:10.09 ID:4jJP5L310]

カメラにテープ貼ってる俺勝ち組
お前らはワクチンでも打ってコオロギ食ってろ！

[0371 ウィズコロナの名無しさん 2023/03/21(火) 03:17:32.65 ID:r/NHYJRX0]

GOMプレイヤーだから無害

[0372 ウィズコロナの名無しさん 2023/03/21(火) 04:30:05.65 ID:Rmc+3W6e0]

VLCが一番つかいやすいな。落とした動画とかに音声のズレがあっても
VLCなら簡単に微調節できる

[0373 ウィズコロナの名無しさん 2023/03/21(火) 05:01:01.23 ID:iL3yVbCz0]

>>37
それはアカンやつのトップバッター

[0374 ウィズコロナの名無しさん 2023/03/21(火) 05:33:13.53 ID:bsiVL/Au0]

>>175
MPC-BE

[0375 ウィズコロナの名無しさん 2023/03/21(火) 06:02:50.24 ID:n6C7gSk30]

vlcは2までは神アプリだった
3はカスアプリ
もうとっくに乗り換えたわ

[0376 ウィズコロナの名無しさん 2023/03/21(火) 06:04:07.84 ID:bb/+OVRq0]

ワ、ワイのうぶんつとかラズパイとかVLC最初から入っとったんやが！！
もうオシマイだぁああああああ＼(^o^)／ｵﾜﾀ

[0377 ウィズコロナの名無しさん 2023/03/21(火) 06:05:34.44 ID:kcy29yfF0]

ワイはMXplayer

[0378 ウィズコロナの名無しさん 2023/03/21(火) 06:10:13.69 ID:zfvjBn/E0]

オープンソースだろ
開発ボランティアに入り込んで、トロイの木馬仕掛けられてるの？

[0379 ウィズコロナの名無しさん 2023/03/21(火) 06:10:47.43 ID:Ul6DVhc/0]

ワイはinfuse

[0380 ウィズコロナの名無しさん 2023/03/21(火) 06:12:04.61 ID:N8g1e/UW0]

中国は悪いとこしかしないクズ

[0381 ウィズコロナの名無しさん 2023/03/21(火) 06:36:08.23 ID:KniRsIxo0]

>>60
そして、それをバラまくけどどうする？ビットコイン送ればやめてやるよ、というメールが来る。払えば完全に消去して2度と連絡しないというので、高めの勉強代だと思ったわ。ビットコインの勉強にもなったし災い転じて福となす、だな。

[0382 ウィズコロナの名無しさん 2023/03/21(火) 06:44:04.83 ID:ZFYsOhjc0]

昔はまあいろいろ溜め込んだものだけど
いまどき謎フォーマットの動画ファイルなんてローカルにひとつもないわなあ

[0383 ウィズコロナの名無しさん 2023/03/21(火) 06:51:49.83 ID:P9fIS5ME0]

中華とロシアはセットでお得

[0384 ウィズコロナの名無しさん 2023/03/21(火) 07:05:34.61 ID:uBEPceLJ0]

ラズパイで使ってるから問題ないな

[0385 ウィズコロナの名無しさん 2023/03/21(火) 07:19:54.32 ID:I31lOTd/0]

黎明期にめっちゃ使いにくくて捨てたソフト
当時は終了時に設定が残らない（音量すら設定画面まで入って行ってapplyしないとダメ）って凄い仕様だった

[0386 ウィズコロナの名無しさん 2023/03/21(火) 07:35:20.85 ID:gXakAV9H0]

GOMの時代を思い出した
MPC使ってるわ

[0387 ウィズコロナの名無しさん 2023/03/21(火) 07:48:12.18 ID:lqpd/5m60]

>>381
ネタなのか本当に払っちゃったのか

[0388 ウィズコロナの名無しさん 2023/03/21(火) 07:50:44.30 ID:R2qoPbAC0]

一応最新のにバージョンアップしといたけどこれだったら大丈夫なのかな？

[0389 ウィズコロナの名無しさん 2023/03/21(火) 07:53:10.23 ID:kfKqK4KD0]

>>28
そしてコオロギ庁はAppleとGoogleに対してサイドローディングさせろー！って要求ｗｗｗｗ

[0390 ウィズコロナの名無しさん 2023/03/21(火) 07:54:34.64 ID:kfKqK4KD0]

練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出
https://bunshun.jp/articles/-/61507

[0391 ウィズコロナの名無しさん 2023/03/21(火) 07:56:50.61 ID:aj+c8+JC0]

さあwindows メディアプレーヤーに変えるか。

[0392 ウィズコロナの名無しさん 2023/03/21(火) 07:57:50.07 ID:uBEPceLJ0]

あーこれな
正規に配布されてるバイナリじゃないもともと悪意のある改変されてるやつの話だって

[0393 ウィズコロナの名無しさん 2023/03/21(火) 08:02:29.14 ID:OB0qrk3D0]

なあ

[0394 ウィズコロナの名無しさん 2023/03/21(火) 08:06:21.86 ID:iMSnGo9H0]

安心のWindowsMediaPlayer

[0395 ウィズコロナの名無しさん 2023/03/21(火) 08:11:56.98 ID:BwBJEeF50]

vlc使ってたわ
他になんでも再生できてマルウエア入ってないやつ教えてくれ

[0396 ウィズコロナの名無しさん 2023/03/21(火) 08:15:29.68 ID:XfDYWYB40]

アンインストして本家のインストーラーで入れ直せってことか？

[0397 ウィズコロナの名無しさん 2023/03/21(火) 08:22:16.32 ID:tT7b1K2G0]

前に俺も評価信じてダウンロードしたけど思ってたのと違って即削除した

[0398 ウィズコロナの名無しさん 2023/03/21(火) 08:29:57.42 ID:/8uuvJpB0]

公式サイトから落とせば無問題

[0399 ウィズコロナの名無しさん 2023/03/21(火) 08:36:49.50 ID:kfKqK4KD0]

>>396
サイドローディングの悪用だから、>>1もどうしてDLLが悪用されたのか詳細書いてないからなんとも
現状では使わない以上にどーしようもないと思うよ

ようは公式のインストーラーでインストールしていても
動画プレーヤーやアーカイブツールとかでもよくあるように
外部DLLとかを取得できる機能があるじゃん
（ある特定のコーデックの動画を再生しようとした時に
　DLLとかコーデックが不足しているので取得しますか、みたいなあれ）

そこを悪用して不正なDLLを落とさせるやり方なんで
Windows Media Playerであっても防げないケースはあるよ

[0400 ウィズコロナの名無しさん 2023/03/21(火) 08:41:36.38 ID:kfKqK4KD0]

補足すると再生する動画ファイル側に
サイドローディングを悪用する変なもん仕込んでおいて
VLCで再生する時にVLCの正規機能を悪用するって話だし

この動画を再生するには、ここにあるDLLとかコーデックを使ってちょ！
とVLCに伝えることでVLCはわかったよーんって落としに行く感じの機能ね

で指示されたサイトにあるDLLとかが不正なもんだと
VLCは指示された通りに取りに行くだけなんで
VLC上はなんら不正な処理ではないし、EPPソフトも
新しい不正DLLとか配布サイトまで完璧に追従できんから
漏れて取得してしまう事がある

[0401 ウィズコロナの名無しさん 2023/03/21(火) 08:42:18.21 ID:kfKqK4KD0]

違ってたら指摘よろ

[0402 ウィズコロナの名無しさん 2023/03/21(火) 08:55:04.47 ID:Hsh3AHJl0]

>>401
悪意のあるVLCバイナリを実行するとだ

つまるところ最初から自分で変なものをインストールするとそうなるってことだ