VLC Media Playerに紛れ込むマルウェア「SILKLOADER」　中国、ロシアのサイバー犯罪グループが活用か [樽悶★]

**樽悶 ★** · 2023/03/20(月) 19:04:26.42

　ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

　SILKLOADERはローダー（Loader）と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

　レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence （WithIntel）のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

　2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット（主に香港と中国）への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

　こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

　WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な（off the shelf）ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。（以下ソース）

3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a

フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日（現地時間）、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road｜WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。

中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド＆コントロール（C2: Command and Control）サーバに接続することが確認されている。

WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。

2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:42:34.46

アンインストールしてしまったが
マイクロソフトストアとか
窓の杜からなら大丈夫なのかな

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:46:06.53

VLCがダメでもGOMだけは前の件で懲りたから絶対に嫌だ

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:46:38.10

>>1
共産主義者は単なるアナキスト無政府主義者

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:48:57.82

いつも公式から落として入れてるから大丈夫

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:49:59.21

>>4
自民のマイナポータルも忘れるな

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:50:55.79

あれ、DVDからリッビングしたTSファイル再生しようとしたらクラッシュして

アンインストールして再インストールしてもまたクラッシュしたんだけど
この件となんか関係ある？

仕方なくMPCとGOMで再生してみたら再生できたけど

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:56:04.58

アンインストールしちゃった

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:56:30.30

fireStick用のVLCとかappStoreのiOS用のとかは大丈夫なんかね？
特にfireStick用とか公式かどうか分かりづらい

**ウィズコロナの名無しさん** · 2023/03/20(月) 23:59:25.25

>>37
Gom昔は使いやすかったんだが、今は更新するたびに広告やらなんやら余計な機能ついてくるから今のGomは使う気にならん

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:01:36.46

昔はhakobako使ってた

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:01:53.46

>>37
壺鮮人御用達やないかい。

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:03:57.05

RealOne → GOM → VLCだったわ
次は何がおすすめかね？

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:04:33.60

>>325
悪食なのがいいよな
DL途中のファイルでも再生できる

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:09:15.78

>>339
え？ずーっとGom使ってるけど広告なんて付いてないぞ？

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:11:42.47

>>151
IINAに帰ろ

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:18:03.98

>>233
情報抜かれるー！とか騒いでるアホが多いけど
Googleに抜かれまくってることに気付いてないのが笑えるな

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:18:37.53

VLCはWMVの再生がクソい
それ以外は特に問題なく使えてる

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:18:45.78

androidのアプリはええの？

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:19:12.69

>>4
おまえらが抜けてる

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:24:10.53

たぶん10年くらい前に公式から落とした奴だから大丈夫だろう

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:25:17.40

DVDが再生できてインターレース解除がやり易いんだよな
エロDVDとかコンサート映像をヌルヌルで観るには必要だから使い続ける

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:38:12.63

Charmap.exeに名前変えてる時点でWindowsのシステムファイルと誤認させてDLさせてるんでしょ

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:45:01.37

最近はIINA つかってる

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:58:31.48

iOSやAndroidに入れてた奴全員アウト
dllハンドラーで全員感染
違法動画奴全員死亡

**ウィズコロナの名無しさん** · 2023/03/21(火) 00:59:55.29

iOSはシステムバック復旧か
Androidはクローンに上書きしないとプロセスから消せない

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:00:54.78

vlcはデフォルトでdllを更新する
よってiOSやAndroidで入れていた人はアウト

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:07:03.89

>>118
すべてが繋がるのか

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:11:28.79

VNCしか使ったことねーわ

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:14:47.05

あらゆる悪事の背後には必ず中露がいるよな

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:16:02.53

>>271
自動アップデートが危ないって話もある
経路やサーバーが偽装されてアップデートが乗っ取られてたら変なもの入れられる
Windows Updateでも起こりうる

スマホは設定もできずに勝手にアップデート
スマホは権限なさ過ぎてウイルスソフトもなにも対処できない

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:16:41.34

だからWindowsとかのアプリはクソなんだよ

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:25:30.67

サーバーの乗っ取りが一番こわい

だがパッケージや署名など厳格にしなく
dllなどでどんどん拡張できるのは旧来からの魅力だ

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:26:18.26

>>295
さよう.か。
仲間がいて嬉しいよ

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:29:35.42

何も問題はない
こんな貧乏人、小市民を攻撃したところで得られるものは何もないだろう

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:37:45.60

>>4
朝韓は中国の一部
三悪は中露ともう一国はどこだろ？

**ウィズコロナの名無しさん** · 2023/03/21(火) 01:51:21.12

>>137
あることあることしかないじゃん
公式から落としたのにダメだったのってこれくらいしか覚えてない

**ウィズコロナの名無しさん** · 2023/03/21(火) 02:15:07.18

シルクワームロード

**ウィズコロナの名無しさん** · 2023/03/21(火) 02:18:40.96

スレタイがミスリード
ちゃんと野良VLCって書いとけや

**ウィズコロナの名無しさん** · 2023/03/21(火) 02:52:57.58

>>335
あれも中韓だから

**ウィズコロナの名無しさん** · 2023/03/21(火) 03:00:10.09

カメラにテープ貼ってる俺勝ち組
お前らはワクチンでも打ってコオロギ食ってろ！

**ウィズコロナの名無しさん** · 2023/03/21(火) 03:17:32.65

GOMプレイヤーだから無害

**ウィズコロナの名無しさん** · 2023/03/21(火) 04:30:05.65

VLCが一番つかいやすいな。落とした動画とかに音声のズレがあっても
VLCなら簡単に微調節できる

**ウィズコロナの名無しさん** · 2023/03/21(火) 05:01:01.23

>>37
それはアカンやつのトップバッター

**ウィズコロナの名無しさん** · 2023/03/21(火) 05:33:13.53

>>175
MPC-BE

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:02:50.24

vlcは2までは神アプリだった
3はカスアプリ
もうとっくに乗り換えたわ

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:04:07.84

ワ、ワイのうぶんつとかラズパイとかVLC最初から入っとったんやが！！
もうオシマイだぁああああああ＼(^o^)／ｵﾜﾀ

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:05:34.44

ワイはMXplayer

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:10:13.69

オープンソースだろ
開発ボランティアに入り込んで、トロイの木馬仕掛けられてるの？

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:10:47.43

ワイはinfuse

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:12:04.61

中国は悪いとこしかしないクズ

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:36:08.23

>>60
そして、それをバラまくけどどうする？ビットコイン送ればやめてやるよ、というメールが来る。払えば完全に消去して2度と連絡しないというので、高めの勉強代だと思ったわ。ビットコインの勉強にもなったし災い転じて福となす、だな。

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:44:04.83

昔はまあいろいろ溜め込んだものだけど
いまどき謎フォーマットの動画ファイルなんてローカルにひとつもないわなあ

**ウィズコロナの名無しさん** · 2023/03/21(火) 06:51:49.83

中華とロシアはセットでお得

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:05:34.61

ラズパイで使ってるから問題ないな

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:19:54.32

黎明期にめっちゃ使いにくくて捨てたソフト
当時は終了時に設定が残らない（音量すら設定画面まで入って行ってapplyしないとダメ）って凄い仕様だった

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:35:20.85

GOMの時代を思い出した
MPC使ってるわ

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:48:12.18

>>381
ネタなのか本当に払っちゃったのか

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:50:44.30

一応最新のにバージョンアップしといたけどこれだったら大丈夫なのかな？

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:53:10.23

>>28
そしてコオロギ庁はAppleとGoogleに対してサイドローディングさせろー！って要求ｗｗｗｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:54:34.64

練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出
https://bunshun.jp/articles/-/61507

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:56:50.61

さあwindows メディアプレーヤーに変えるか。

**ウィズコロナの名無しさん** · 2023/03/21(火) 07:57:50.07

あーこれな
正規に配布されてるバイナリじゃないもともと悪意のある改変されてるやつの話だって

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:02:29.14

なあ

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:06:21.86

安心のWindowsMediaPlayer

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:11:56.98

vlc使ってたわ
他になんでも再生できてマルウエア入ってないやつ教えてくれ

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:15:29.68

アンインストして本家のインストーラーで入れ直せってことか？

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:22:16.32

前に俺も評価信じてダウンロードしたけど思ってたのと違って即削除した

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:29:57.42

公式サイトから落とせば無問題

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:36:49.50

>>396
サイドローディングの悪用だから、>>1もどうしてDLLが悪用されたのか詳細書いてないからなんとも
現状では使わない以上にどーしようもないと思うよ

ようは公式のインストーラーでインストールしていても
動画プレーヤーやアーカイブツールとかでもよくあるように
外部DLLとかを取得できる機能があるじゃん
（ある特定のコーデックの動画を再生しようとした時に
　DLLとかコーデックが不足しているので取得しますか、みたいなあれ）

そこを悪用して不正なDLLを落とさせるやり方なんで
Windows Media Playerであっても防げないケースはあるよ

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:41:36.38

補足すると再生する動画ファイル側に
サイドローディングを悪用する変なもん仕込んでおいて
VLCで再生する時にVLCの正規機能を悪用するって話だし

この動画を再生するには、ここにあるDLLとかコーデックを使ってちょ！
とVLCに伝えることでVLCはわかったよーんって落としに行く感じの機能ね

で指示されたサイトにあるDLLとかが不正なもんだと
VLCは指示された通りに取りに行くだけなんで
VLC上はなんら不正な処理ではないし、EPPソフトも
新しい不正DLLとか配布サイトまで完璧に追従できんから
漏れて取得してしまう事がある

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:42:18.21

違ってたら指摘よろ

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:55:04.47

>>401
悪意のあるVLCバイナリを実行するとだ

つまるところ最初から自分で変なものをインストールするとそうなるってことだ

**ウィズコロナの名無しさん** · 2023/03/21(火) 08:59:38.29

>>402
それだとサイドローディング関係ないじゃんｗ

VLCを名乗る亜種をインストールしただけの話でしょ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:02:44.31

>>34
関係ないだろ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:04:06.07

音ズレするからアンインストしたなあ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:09:43.60

まあ亜種だね
動画に関係ないものもサイドロードできるようにして様々な用途の踏み台にできるようになっている
中露から使われるゾンビPCになる

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:11:51.52

>>406
いや、そもそも怪しいところから入手したウイルス入りソフトなのが問題なら
サイドローディングうんぬんは直接は関係ないじゃんｗ
サイドローディングできるようにして、とか以前の話なんだからｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:13:33.72

正規のVLCをインストールしていてもサイドローディング機能の脆弱性なりを突かれて
マルウェアが入ってしまうって話ならわかるけどさｗ

怪しいサイトで取得したウイルス入りのVLCを入れましたってだけの話なのに
サイドローディングがー！とか>>1の記事書いた奴アフォなのｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:13:42.91

公式に成りすましたうえに検索上位に出てくる偽サイトもあるし
VLCは中露の犯罪者に狙われてるんだろうね

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:14:54.22

>>409
アカ組はネットと切り離せば良いんだよ。

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:17:24.47

>>409
それはわかるんだけど、それはサイドローディングの悪用とかじゃないよねｗ
単純にVLCに成りすましたもしくはオープンソースを悪用しただけのウイルス入り不正ツールにすぎないわけで

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:19:18.21

>>408
なんだ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:20:55.43

Light Alloy使ってるのは俺だけなのか

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:22:33.94

VLCが表に出ただけでフリーウェアにはよくある事
素人に毛の生えたのが、俺は使いこなせるってフリーウェアバカスカ入れるんだよね

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:26:15.21

>>366
公式から落としたじゃなくて
何らかの方法で公式から誘導された別サイトでのアップデートな
そしてすぐに対策されている
アップデートサーバーが不正アクセスされていただけなのにあたかも公式が意図的にマルウェアを仕込んだような言い方するのやめなよ
そもそも10年前の話をいつまでしてるの？
中国韓国の製品はネトウヨの厳しいそして悪意のある目で見られているから実際の100倍以上イメージが悪くなっている

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:32:21.11

GOMに続いてVLCもか
エロ動画は何で見たらいいんだよ！

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:37:46.14

>>63
WindowsもMacもAndroidもLinuxもスパイウェアだもんな

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:42:11.58

>>1
>VLC Media Player

あんなもん使ってる情弱おるんかｗｗｗｗｗｗｗｗｗｗｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:43:32.44

>>417
安全に使いたいならネットを遮断してローカルのみで使用しないとね

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:44:49.27

この際だから2画面動画プレイヤーでおすすめありますか？

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:53:43.37

野良VLC入れてる場合だろ？

**ウィズコロナの名無しさん** · 2023/03/21(火) 09:55:07.05

>>421
結局そういうことですね
なのでサイドローディングがどーとか言い出している>>1の記者はアフォだと思うわ

単純に怪しいところからダウンロードしたウイルス入りツールを入れただけの話ですｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:00:24.54

>>3
それ思ってた
気をつけろということなのかw

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:02:58.66

>>403
違うのはバレ方
入れた段階ですぐに気づかれるだろ？

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:09:20.98

>>400
DLLのポジティブだかネガティブリストの設定が甘いらしい

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:10:40.13

>>424
いや>>1の件はサイドローディング関係ねーじゃんｗ
出どころ怪しいところからダウンロードしたウイルス入りVLCを入れたら感染しましたって話だろｗ

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:17:15.58

ランサムウェアって大抵がロシア語とキリル語を使用しているOSを対象外にしてるからロシアがやってるってバレバレなんだよな

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:25:44.40

>>426
ついでに改変VLCをインストールさせたあとサイドロードさせるのはどんな不正を行わせるのか機能の拡張をしたいってことだな

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:26:08.89

中国とロシアを人類の敵として滅ぼさないとな

**ウィズコロナの名無しさん** · 2023/03/21(火) 10:29:39.60

>>428
でもそれVLCのサイドローディング機能関係ねーじゃんｗ
そもそもがウイルス入りVLCなんだから、VLCのサイドローディング機能以前に
そういう拡張機能いれてあればできる話なわけで

怪しいところからダウンロードしない
って当たり前の話をすればいいだけだろｗ

VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]

VLC Media Playerに紛れ込むマルウェア「SILKLOADER」　中国、ロシアのサイバー犯罪グループが活用か [樽悶★]