VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。 SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。 レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。 2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。 こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。 WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース) 3/17(金) 7:39配信 https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。 中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。 悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。 WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。 2023/03/18 16:39 https://news.mynavi.jp/techplus/article/20230318-2629163/ https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg アンインストールしてしまったが マイクロソフトストアとか 窓の杜からなら大丈夫なのかな VLCがダメでもGOMだけは前の件で懲りたから絶対に嫌だ あれ、DVDからリッビングしたTSファイル再生しようとしたらクラッシュして アンインストールして再インストールしてもまたクラッシュしたんだけど この件となんか関係ある? 仕方なくMPCとGOMで再生してみたら再生できたけど fireStick用のVLCとかappStoreのiOS用のとかは大丈夫なんかね? 特にfireStick用とか公式かどうか分かりづらい >>37 Gom昔は使いやすかったんだが、今は更新するたびに広告やらなんやら余計な機能ついてくるから今のGomは使う気にならん RealOne → GOM → VLCだったわ 次は何がおすすめかね? >>325 悪食なのがいいよな DL途中のファイルでも再生できる >>339 え?ずーっとGom使ってるけど広告なんて付いてないぞ? >>233 情報抜かれるー!とか騒いでるアホが多いけど Googleに抜かれまくってることに気付いてないのが笑えるな VLCはWMVの再生がクソい それ以外は特に問題なく使えてる たぶん10年くらい前に公式から落とした奴だから大丈夫だろう DVDが再生できてインターレース解除がやり易いんだよな エロDVDとかコンサート映像をヌルヌルで観るには必要だから使い続ける Charmap.exeに名前変えてる時点でWindowsのシステムファイルと誤認させてDLさせてるんでしょ iOSやAndroidに入れてた奴全員アウト dllハンドラーで全員感染 違法動画奴全員死亡 iOSはシステムバック復旧か Androidはクローンに上書きしないとプロセスから消せない vlcはデフォルトでdllを更新する よってiOSやAndroidで入れていた人はアウト >>271 自動アップデートが危ないって話もある 経路やサーバーが偽装されてアップデートが乗っ取られてたら変なもの入れられる Windows Updateでも起こりうる スマホは設定もできずに勝手にアップデート スマホは権限なさ過ぎてウイルスソフトもなにも対処できない サーバーの乗っ取りが一番こわい だがパッケージや署名など厳格にしなく dllなどでどんどん拡張できるのは旧来からの魅力だ 何も問題はない こんな貧乏人、小市民を攻撃したところで得られるものは何もないだろう >>4 朝韓は中国の一部 三悪は中露ともう一国はどこだろ? >>137 あることあることしかないじゃん 公式から落としたのにダメだったのってこれくらいしか覚えてない スレタイがミスリード ちゃんと野良VLCって書いとけや カメラにテープ貼ってる俺勝ち組 お前らはワクチンでも打ってコオロギ食ってろ! VLCが一番つかいやすいな。落とした動画とかに音声のズレがあっても VLCなら簡単に微調節できる vlcは2までは神アプリだった 3はカスアプリ もうとっくに乗り換えたわ ワ、ワイのうぶんつとかラズパイとかVLC最初から入っとったんやが!! もうオシマイだぁああああああ\(^o^)/オワタ オープンソースだろ 開発ボランティアに入り込んで、トロイの木馬仕掛けられてるの? >>60 そして、それをバラまくけどどうする?ビットコイン送ればやめてやるよ、というメールが来る。払えば完全に消去して2度と連絡しないというので、高めの勉強代だと思ったわ。ビットコインの勉強にもなったし災い転じて福となす、だな。 昔はまあいろいろ溜め込んだものだけど いまどき謎フォーマットの動画ファイルなんてローカルにひとつもないわなあ 黎明期にめっちゃ使いにくくて捨てたソフト 当時は終了時に設定が残らない(音量すら設定画面まで入って行ってapplyしないとダメ)って凄い仕様だった 一応最新のにバージョンアップしといたけどこれだったら大丈夫なのかな? >>28 そしてコオロギ庁はAppleとGoogleに対してサイドローディングさせろー!って要求wwww 練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出 https://bunshun.jp/articles/-/61507 さあwindows メディアプレーヤーに変えるか。 あーこれな 正規に配布されてるバイナリじゃないもともと悪意のある改変されてるやつの話だって vlc使ってたわ 他になんでも再生できてマルウエア入ってないやつ教えてくれ アンインストして本家のインストーラーで入れ直せってことか? 前に俺も評価信じてダウンロードしたけど思ってたのと違って即削除した >>396 サイドローディングの悪用だから、>>1 もどうしてDLLが悪用されたのか詳細書いてないからなんとも 現状では使わない以上にどーしようもないと思うよ ようは公式のインストーラーでインストールしていても 動画プレーヤーやアーカイブツールとかでもよくあるように 外部DLLとかを取得できる機能があるじゃん (ある特定のコーデックの動画を再生しようとした時に DLLとかコーデックが不足しているので取得しますか、みたいなあれ) そこを悪用して不正なDLLを落とさせるやり方なんで Windows Media Playerであっても防げないケースはあるよ 補足すると再生する動画ファイル側に サイドローディングを悪用する変なもん仕込んでおいて VLCで再生する時にVLCの正規機能を悪用するって話だし この動画を再生するには、ここにあるDLLとかコーデックを使ってちょ! とVLCに伝えることでVLCはわかったよーんって落としに行く感じの機能ね で指示されたサイトにあるDLLとかが不正なもんだと VLCは指示された通りに取りに行くだけなんで VLC上はなんら不正な処理ではないし、EPPソフトも 新しい不正DLLとか配布サイトまで完璧に追従できんから 漏れて取得してしまう事がある >>401 悪意のあるVLCバイナリを実行するとだ つまるところ最初から自分で変なものをインストールするとそうなるってことだ >>402 それだとサイドローディング関係ないじゃんw VLCを名乗る亜種をインストールしただけの話でしょ まあ亜種だね 動画に関係ないものもサイドロードできるようにして様々な用途の踏み台にできるようになっている 中露から使われるゾンビPCになる >>406 いや、そもそも怪しいところから入手したウイルス入りソフトなのが問題なら サイドローディングうんぬんは直接は関係ないじゃんw サイドローディングできるようにして、とか以前の話なんだからw 正規のVLCをインストールしていてもサイドローディング機能の脆弱性なりを突かれて マルウェアが入ってしまうって話ならわかるけどさw 怪しいサイトで取得したウイルス入りのVLCを入れましたってだけの話なのに サイドローディングがー!とか>>1 の記事書いた奴アフォなのw 公式に成りすましたうえに検索上位に出てくる偽サイトもあるし VLCは中露の犯罪者に狙われてるんだろうね >>409 アカ組はネットと切り離せば良いんだよ。 >>409 それはわかるんだけど、それはサイドローディングの悪用とかじゃないよねw 単純にVLCに成りすましたもしくはオープンソースを悪用しただけのウイルス入り不正ツールにすぎないわけで VLCが表に出ただけでフリーウェアにはよくある事 素人に毛の生えたのが、俺は使いこなせるってフリーウェアバカスカ入れるんだよね >>366 公式から落としたじゃなくて 何らかの方法で公式から誘導された別サイトでのアップデートな そしてすぐに対策されている アップデートサーバーが不正アクセスされていただけなのにあたかも公式が意図的にマルウェアを仕込んだような言い方するのやめなよ そもそも10年前の話をいつまでしてるの? 中国韓国の製品はネトウヨの厳しいそして悪意のある目で見られているから実際の100倍以上イメージが悪くなっている GOMに続いてVLCもか エロ動画は何で見たらいいんだよ! >>63 WindowsもMacもAndroidもLinuxもスパイウェアだもんな >>1 >VLC Media Player あんなもん使ってる情弱おるんかwwwwwwwwwww >>417 安全に使いたいならネットを遮断してローカルのみで使用しないとね この際だから2画面動画プレイヤーでおすすめありますか? >>421 結局そういうことですね なのでサイドローディングがどーとか言い出している>>1 の記者はアフォだと思うわ 単純に怪しいところからダウンロードしたウイルス入りツールを入れただけの話ですw >>3 それ思ってた 気をつけろということなのかw >>403 違うのはバレ方 入れた段階ですぐに気づかれるだろ? >>400 DLLのポジティブだかネガティブリストの設定が甘いらしい >>424 いや>>1 の件はサイドローディング関係ねーじゃんw 出どころ怪しいところからダウンロードしたウイルス入りVLCを入れたら感染しましたって話だろw ランサムウェアって大抵がロシア語とキリル語を使用しているOSを対象外にしてるからロシアがやってるってバレバレなんだよな >>426 ついでに改変VLCをインストールさせたあとサイドロードさせるのはどんな不正を行わせるのか機能の拡張をしたいってことだな >>428 でもそれVLCのサイドローディング機能関係ねーじゃんw そもそもがウイルス入りVLCなんだから、VLCのサイドローディング機能以前に そういう拡張機能いれてあればできる話なわけで 怪しいところからダウンロードしない って当たり前の話をすればいいだけだろw ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる