VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。 SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。 レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。 2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。 こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。 WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース) 3/17(金) 7:39配信 https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。 中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。 悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。 WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。 2023/03/18 16:39 https://news.mynavi.jp/techplus/article/20230318-2629163/ https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg 中華製防犯カメラの録画ファイルはVLCでしか再生できないワロタぁ! ずいぶん前にちょっとだけ使ってみたけどなんかやな感じがして消した 俺の直観も意外とやるもんだと思った 有料でも良いからこれなら間違いないってのはないの? >>306 俺もGOM使ってる VLCなんか使いにくいんだよな どこから落としたバイナリでこうなるんだ? githubからソースで落とした方がいいつーことか でも家のマシンにビルド環境なんか作ってねえ >>292 FireStickに入れるとPCのエロ動画再生マシンになって重宝してる >>318 MPCもDLL読み込むから同じこと出来るんじゃね? いまchatgptで検索したら偽サイト臭いのばっかり出てくるのよな VLCは他のプレイヤーだと見られない壊れた動画の再生とか修復には便利 YARAIインストールしているんだが、防げないのかな >>326 怪しい所から落としたVLCをインストールしたらウィルスに感染した! だから、本家公式サイトから落としたVLCをインストールするとウィルスに感染して危険だ! と誤認させたい記事 アンインストールしてしまったが マイクロソフトストアとか 窓の杜からなら大丈夫なのかな VLCがダメでもGOMだけは前の件で懲りたから絶対に嫌だ あれ、DVDからリッビングしたTSファイル再生しようとしたらクラッシュして アンインストールして再インストールしてもまたクラッシュしたんだけど この件となんか関係ある? 仕方なくMPCとGOMで再生してみたら再生できたけど fireStick用のVLCとかappStoreのiOS用のとかは大丈夫なんかね? 特にfireStick用とか公式かどうか分かりづらい >>37 Gom昔は使いやすかったんだが、今は更新するたびに広告やらなんやら余計な機能ついてくるから今のGomは使う気にならん RealOne → GOM → VLCだったわ 次は何がおすすめかね? >>325 悪食なのがいいよな DL途中のファイルでも再生できる >>339 え?ずーっとGom使ってるけど広告なんて付いてないぞ? >>233 情報抜かれるー!とか騒いでるアホが多いけど Googleに抜かれまくってることに気付いてないのが笑えるな VLCはWMVの再生がクソい それ以外は特に問題なく使えてる たぶん10年くらい前に公式から落とした奴だから大丈夫だろう DVDが再生できてインターレース解除がやり易いんだよな エロDVDとかコンサート映像をヌルヌルで観るには必要だから使い続ける Charmap.exeに名前変えてる時点でWindowsのシステムファイルと誤認させてDLさせてるんでしょ iOSやAndroidに入れてた奴全員アウト dllハンドラーで全員感染 違法動画奴全員死亡 iOSはシステムバック復旧か Androidはクローンに上書きしないとプロセスから消せない vlcはデフォルトでdllを更新する よってiOSやAndroidで入れていた人はアウト >>271 自動アップデートが危ないって話もある 経路やサーバーが偽装されてアップデートが乗っ取られてたら変なもの入れられる Windows Updateでも起こりうる スマホは設定もできずに勝手にアップデート スマホは権限なさ過ぎてウイルスソフトもなにも対処できない サーバーの乗っ取りが一番こわい だがパッケージや署名など厳格にしなく dllなどでどんどん拡張できるのは旧来からの魅力だ 何も問題はない こんな貧乏人、小市民を攻撃したところで得られるものは何もないだろう >>4 朝韓は中国の一部 三悪は中露ともう一国はどこだろ? >>137 あることあることしかないじゃん 公式から落としたのにダメだったのってこれくらいしか覚えてない スレタイがミスリード ちゃんと野良VLCって書いとけや カメラにテープ貼ってる俺勝ち組 お前らはワクチンでも打ってコオロギ食ってろ! VLCが一番つかいやすいな。落とした動画とかに音声のズレがあっても VLCなら簡単に微調節できる vlcは2までは神アプリだった 3はカスアプリ もうとっくに乗り換えたわ ワ、ワイのうぶんつとかラズパイとかVLC最初から入っとったんやが!! もうオシマイだぁああああああ\(^o^)/オワタ オープンソースだろ 開発ボランティアに入り込んで、トロイの木馬仕掛けられてるの? >>60 そして、それをバラまくけどどうする?ビットコイン送ればやめてやるよ、というメールが来る。払えば完全に消去して2度と連絡しないというので、高めの勉強代だと思ったわ。ビットコインの勉強にもなったし災い転じて福となす、だな。 昔はまあいろいろ溜め込んだものだけど いまどき謎フォーマットの動画ファイルなんてローカルにひとつもないわなあ 黎明期にめっちゃ使いにくくて捨てたソフト 当時は終了時に設定が残らない(音量すら設定画面まで入って行ってapplyしないとダメ)って凄い仕様だった 一応最新のにバージョンアップしといたけどこれだったら大丈夫なのかな? >>28 そしてコオロギ庁はAppleとGoogleに対してサイドローディングさせろー!って要求wwww 練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出 https://bunshun.jp/articles/-/61507 さあwindows メディアプレーヤーに変えるか。 あーこれな 正規に配布されてるバイナリじゃないもともと悪意のある改変されてるやつの話だって vlc使ってたわ 他になんでも再生できてマルウエア入ってないやつ教えてくれ アンインストして本家のインストーラーで入れ直せってことか? 前に俺も評価信じてダウンロードしたけど思ってたのと違って即削除した >>396 サイドローディングの悪用だから、>>1 もどうしてDLLが悪用されたのか詳細書いてないからなんとも 現状では使わない以上にどーしようもないと思うよ ようは公式のインストーラーでインストールしていても 動画プレーヤーやアーカイブツールとかでもよくあるように 外部DLLとかを取得できる機能があるじゃん (ある特定のコーデックの動画を再生しようとした時に DLLとかコーデックが不足しているので取得しますか、みたいなあれ) そこを悪用して不正なDLLを落とさせるやり方なんで Windows Media Playerであっても防げないケースはあるよ 補足すると再生する動画ファイル側に サイドローディングを悪用する変なもん仕込んでおいて VLCで再生する時にVLCの正規機能を悪用するって話だし この動画を再生するには、ここにあるDLLとかコーデックを使ってちょ! とVLCに伝えることでVLCはわかったよーんって落としに行く感じの機能ね で指示されたサイトにあるDLLとかが不正なもんだと VLCは指示された通りに取りに行くだけなんで VLC上はなんら不正な処理ではないし、EPPソフトも 新しい不正DLLとか配布サイトまで完璧に追従できんから 漏れて取得してしまう事がある >>401 悪意のあるVLCバイナリを実行するとだ つまるところ最初から自分で変なものをインストールするとそうなるってことだ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる