VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]

[0001 樽悶 ★ 2023/03/20(月) 19:04:26.42 ID:00zE9szf9]

　ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

　SILKLOADERはローダー（Loader）と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

　レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence （WithIntel）のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

　2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット（主に香港と中国）への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

　こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

　WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な（off the shelf）ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。（以下ソース）

3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a

フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日（現地時間）、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road｜WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。

中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド＆コントロール（C2: Command and Control）サーバに接続することが確認されている。

WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。

2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg

[0034 ウィズコロナの名無しさん 2023/03/20(月) 19:15:45.59 ID:XGw9gtOs0]

iOSとかMacとかのVLCはどうなるのかな？

[0035 ウィズコロナの名無しさん 2023/03/20(月) 19:15:59.32 ID:onQa2dhR0]

ソフトを削除したら勝手に必要なdllも連れて行って往生した思い出

[0036 ウィズコロナの名無しさん 2023/03/20(月) 19:16:30.65 ID:jNNWaArV0]

>>33
VLCを使え

[0037 ウィズコロナの名無しさん 2023/03/20(月) 19:16:37.32 ID:Z4PyLvux0]

>>20
10年以上前使ってたな
今は韓国製のGOMPlayer
これが一番使いやすい

[0038 ウィズコロナの名無しさん 2023/03/20(月) 19:17:21.05 ID:gDPiF2P10]

動画は、ローカルファイルで見ることほとんどなくなったな
つべとか、ネットストリーミングが主流でしょ

[0039 ウィズコロナの名無しさん 2023/03/20(月) 19:17:35.93 ID:dgAhY/U60]

> 名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、
> 特別に細工された悪意のあるlibvlc.dllファイルによって配布されている

こんなもん どっからインストールしてきてるんだよｗ
アプリストアでVLCの名前で配布してたわけじゃないんだろ

[0040 ウィズコロナの名無しさん 2023/03/20(月) 19:17:36.64 ID:jGQSwZHw0]

>>37
スパイウェアで一時期話題になった奴じゃん…

[0041 ウィズコロナの名無しさん 2023/03/20(月) 19:17:46.87 ID:JeM+LfTc0]

破損したエロ動画の修復に重宝してるから気になるぞ

[0042 ウィズコロナの名無しさん 2023/03/20(月) 19:18:41.88 ID:H7YjcNuH0]

libvlc.dllを消せばいいの？

[0043 ウィズコロナの名無しさん 2023/03/20(月) 19:18:49.21 ID:mFp1AjAp0]

あれはVLCと中国のせいだったんか
バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ

[0044 ウィズコロナの名無しさん 2023/03/20(月) 19:19:11.60 ID:jNNWaArV0]

誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。
ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。

[0045 ウィズコロナの名無しさん 2023/03/20(月) 19:19:27.78 ID:saAnoEqh0]

>>33
ＳＭプレーヤーもエロ鑑賞で十分使えるよ
動画の途中で閉じてもその再生部分を記録していてそこから始まるし
拡大機能はキーボードのＷボタン縮小はＥボタンでできるから
勿論再生のスピード調整も思いのまま

[0046 ウィズコロナの名無しさん 2023/03/20(月) 19:19:30.62 ID:5T6qWtTv0]

これは公式以外が配布してるやつを
インストールしたらダメだよってやつでは?

[0047 ウィズコロナの名無しさん 2023/03/20(月) 19:19:32.54 ID:Z4PyLvux0]

>>15
お前が狙われることはないから安心して使っていいよ

[0048 ウィズコロナの名無しさん 2023/03/20(月) 19:19:42.89 ID:5u9Cmnve0]

>>28
どっちにしろVLCは削除した方がいい

[0049 ウィズコロナの名無しさん 2023/03/20(月) 19:19:58.67 ID:40qmumjP0]

VLCなんか、前から怪しいから使ってないわ

[0050 ウィズコロナの名無しさん 2023/03/20(月) 19:20:40.14 ID:k+TPe23x0]

VLCに足向けて寝れないMacユーザー.avi

[0051 ウィズコロナの名無しさん 2023/03/20(月) 19:21:01.51 ID:1gUbBgdQ0]

isoファイル開くのに活用してた記憶があるわ
あれヤバかったんだな

[0052 ウィズコロナの名無しさん 2023/03/20(月) 19:21:10.24 ID:noEmbeNL0]

使ってるわ
PC燃やしたらええんか？🖥🔥🔥

[0053 ウィズコロナの名無しさん 2023/03/20(月) 19:21:21.88 ID:UZz71bUI0]

VLCは一度は通る道やな
んでMPCとかに落ち着くと

[0054 ウィズコロナの名無しさん 2023/03/20(月) 19:21:40.49 ID:kfZuV4ws0]

>>37
それも駄目な奴

[0055 ウィズコロナの名無しさん 2023/03/20(月) 19:22:11.68 ID:8Fec4A8J0]

使ってた事もあったが存在忘れてたわ

[0056 ウィズコロナの名無しさん 2023/03/20(月) 19:22:13.40 ID:jNNWaArV0]

>>48
本家以外の使ってる人はね

[0057 ウィズコロナの名無しさん 2023/03/20(月) 19:22:17.38 ID:dgAhY/U60]

>>44
GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外
野良アプリインストールする奴なんて 完全に自己責任でしょ

[0058 ウィズコロナの名無しさん 2023/03/20(月) 19:22:17.83 ID:UZz71bUI0]

>>37
あーあ

[0059 ウィズコロナの名無しさん 2023/03/20(月) 19:23:40.10 ID:PjNp5ptL0]

GoProの動画これでしかみれん…。
gomめっちゃ重いんだけど自分だけ？

[0060 ウィズコロナの名無しさん 2023/03/20(月) 19:23:44.47 ID:S0v0+PUL0]

>>14
撮影されてる

[0061 ウィズコロナの名無しさん 2023/03/20(月) 19:23:46.45 ID:saAnoEqh0]

>>37
（ノo`）ｱﾁｬｰ.

[0062 ウィズコロナの名無しさん 2023/03/20(月) 19:24:30.62 ID:+upMTKEa0]

>>1は要するにカスタマイズされたやつじゃなくて公式サイトのだけインスコしろってこと

[0063 ウィズコロナの名無しさん 2023/03/20(月) 19:24:50.35 ID:Z4PyLvux0]

>>40
>>54
PC初心者か？
全てのソフトはスパイウェアだのマルウェアだの言われてるぞ
EXEとか変な実行ファイルクリックしなきゃ問題ないんだよ

[0064 ウィズコロナの名無しさん 2023/03/20(月) 19:25:02.52 ID:0w+XFZna0]

>>46
んだな
つか公式以外でダウンロードしちゃダメだろ普通に

[0065 ウィズコロナの名無しさん 2023/03/20(月) 19:25:10.80 ID:S+aXNImI0]

メデイアクラシックなんたら使ってるけど危ないがいっぱいですか？

[0066 ウィズコロナの名無しさん 2023/03/20(月) 19:26:03.28 ID:7SwTHZEa0]

>>63
つまりソフトを使うな

[0067 ウィズコロナの名無しさん 2023/03/20(月) 19:26:18.38 ID:wYXB82Yo0]

>>59
せめて12世代のi7と3080使えよ

[0068 ウィズコロナの名無しさん 2023/03/20(月) 19:26:26.28 ID:8E+GPE4a0]

知らんメールやサイトでVLCに偽装したマルウェアダウンロードして使うようなアホがいるってことかな

[0069 ウィズコロナの名無しさん 2023/03/20(月) 19:26:43.29 ID:oK5ORYg50]

ワイヤレスセキュリティカメラでVLC使ってる人多そう

[0070 ウィズコロナの名無しさん 2023/03/20(月) 19:27:13.18 ID:krYgJnTq0]

発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル（Charmap.exe）と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。

[0071 ウィズコロナの名無しさん 2023/03/20(月) 19:27:22.91 ID:xeIIODA70]

中露の連携で国をあげてサイバーテロ攻撃で
世界を破壊しようとしているの？

[0072 ウィズコロナの名無しさん 2023/03/20(月) 19:27:25.85 ID:S0v0+PUL0]

>>69
それわいや

[0073 ウィズコロナの名無しさん 2023/03/20(月) 19:27:36.07 ID:Q9KzQSKb0]

VLC使ってる情弱おる？

[0074 ウィズコロナの名無しさん 2023/03/20(月) 19:27:43.50 ID:Zkow5pX60]

PCの動画をクロムキャストで再生するの便利なんだけど何使えばいいんだよ

[0075 ウィズコロナの名無しさん 2023/03/20(月) 19:28:20.77 ID:jNNWaArV0]

>>68
解説サイトとかから誘導されて
そのままインストールしちゃう人とか
いないわけでもない

[0076 ウィズコロナの名無しさん 2023/03/20(月) 19:28:48.31 ID:+yxpCKv/0]

日本人には対処不能
どんなに泥棒に入られようとも鍵を掛けずに毎回大騒ぎしてる池沼だから

[0077 ウィズコロナの名無しさん 2023/03/20(月) 19:28:53.70 ID:SplwX9LY0]

PC初心者なのですが自首してきたほうが良いでしょうか？

[0078 ウィズコロナの名無しさん 2023/03/20(月) 19:29:00.62 ID:sG1Xe6RY0]

アンインストールしたからといって
トロイの木馬までアンインストールしてくれるとは限らない

[0079 ウィズコロナの名無しさん 2023/03/20(月) 19:29:02.18 ID:JeM+LfTc0]

>>44
なーんだ、解散

[0080 ウィズコロナの名無しさん 2023/03/20(月) 19:29:03.30 ID:K+HbUHrB0]

溜めたエロ動画はいつもVLCで観てるぞ

[0081 ウィズコロナの名無しさん 2023/03/20(月) 19:29:22.09 ID:FmR50XTW0]

ハッカーグループより>>1の方が悪意があるというか、無知というか…
まぁVLCなんか使わないけどさ

[0082 ウィズコロナの名無しさん 2023/03/20(月) 19:29:50.90 ID:oK5ORYg50]

>>76
泥棒に対抗するために銃で武装して身内殺してしまうよりマシ

[0083 ウィズコロナの名無しさん 2023/03/20(月) 19:29:52.83 ID:24X6xoRH0]

withSecureは、ぱよちんでお馴染み「F-Secure」の名称変更した会社
ttps://cloud.watch.impress.co.jp/docs/news/1397156.html

[0084 ウィズコロナの名無しさん 2023/03/20(月) 19:30:09.56 ID:T6OJQd+A0]

>>4
そう思わせておいて味方が仕込んでくることもあるから油断できない

[0085 ウィズコロナの名無しさん 2023/03/20(月) 19:30:48.58 ID:4OldWjUs0]

どのプレイヤーもネット接続させなければいいだけだろ
FWで遮断しとけ

[0086 ウィズコロナの名無しさん 2023/03/20(月) 19:31:00.47 ID:dgAhY/U60]

>>68
そんな人が結構?いるってことにびっくりするよね
公式ストアからの署名付き以外で よう知らんバイナリなんかインストール・実行できるもんだ

[0087 ウィズコロナの名無しさん 2023/03/20(月) 19:31:28.68 ID:QJEeHO2R0]

自分は昔からアプリ入れるときは開発国まで確認して入れてるよ
中華ソフトは絶対入れないわ
まあ唯一小中華系のLINEは入れてるけど

[0088 ウィズコロナの名無しさん 2023/03/20(月) 19:31:35.48 ID:Lhupha9+0]

どうやってエロ動画見ろと言うんだ

[0089 ウィズコロナの名無しさん 2023/03/20(月) 19:31:47.57 ID:Ji7JgG4r0]

MPC-BEの時代が来たか

[0090 ウィズコロナの名無しさん 2023/03/20(月) 19:32:24.56 ID:BJIIN2MA0]

>>43
それはバッファローのファームがおかしいだけやろw

[0091 ウィズコロナの名無しさん 2023/03/20(月) 19:32:41.59 ID:Pfnnm/fF0]

クリスマスになるとハッキングされて帽子被ってるよな

[0092 ウィズコロナの名無しさん 2023/03/20(月) 19:32:50.20 ID:0w+XFZna0]

まあ情弱はこういうフリーツールはむやみに使わないに限る

[0093 ウィズコロナの名無しさん 2023/03/20(月) 19:32:54.19 ID:VvsEUK5V0]

もうエロ動画と一緒に消すしかないね

[0094 ウィズコロナの名無しさん 2023/03/20(月) 19:33:36.56 ID:lEVyRbFK0]

逆に何だったらいいんだよ

[0095 ウィズコロナの名無しさん 2023/03/20(月) 19:34:12.39 ID:0ghbzV630]

>>90
バッファローは分解してみるとわかるけど、
随分いい加減に作ってるなという印象ww

[0096 ウィズコロナの名無しさん 2023/03/20(月) 19:34:16.75 ID:vY/muXUr0]

ｘｐユーザーはまたも大勝利

[0097 ウィズコロナの名無しさん 2023/03/20(月) 19:34:45.82 ID:jlaVZeIW0]

で、マイクロソフトのdefenderで感知してくれるん？

[0098 ウィズコロナの名無しさん 2023/03/20(月) 19:34:47.78 ID:WlrnQQV50]

>>87
台無しじゃねーか

[0099 ウィズコロナの名無しさん 2023/03/20(月) 19:35:34.03 ID:H7YjcNuH0]

>>68
フリーソフトを紹介するまとめサイト的な物を悪意の有る奴が作って本家と似たサイトに誘導して配布してそうだな

[0100 ウィズコロナの名無しさん 2023/03/20(月) 19:35:46.15 ID:ByUAv2ew0]

>>83
オッオー

[0101 ウィズコロナの名無しさん 2023/03/20(月) 19:36:04.91 ID:VTzqvO6m0]

>>37
ガチのスパイウェアじゃん
情弱過ぎるわ

[0102 ウィズコロナの名無しさん 2023/03/20(月) 19:36:50.16 ID:cJL3VngP0]

オレンジのアイコンのやつ？
Googlepixelデフォルトでアプリ入ってたんだけど

[0103 ウィズコロナの名無しさん 2023/03/20(月) 19:36:56.81 ID:Nr2yOjBM0]

>>1
https://upload.wikimedia.org/wikipedia/commons/f/f7/Chinese-eunuch.jpg
ᐛ→ ꒴🇨🇳おちんちんだ！！！

[0104 ウィズコロナの名無しさん 2023/03/20(月) 19:37:14.16 ID:9GA2e/7Z0]

昔からコレとゴムは駄目って常識でしょ

[0105 ウィズコロナの名無しさん 2023/03/20(月) 19:37:21.35 ID:Nr2yOjBM0]

これ王様かよwwww😂🙊🤣プッ

[0106 ウィズコロナの名無しさん 2023/03/20(月) 19:37:32.40 ID:xDTP5CVL0]

やっぱBEだよね

[0107 ウィズコロナの名無しさん 2023/03/20(月) 19:37:37.64 ID:sZF4tcaV0]

>>4
アメ公も追加で

[0108 ウィズコロナの名無しさん 2023/03/20(月) 19:37:43.38 ID:saAnoEqh0]

>>43
バッファローの奴は俺もよくなってた
ＩＯデータの方がそれも含めて大分使いごごちが良かったからそっちの方使ってた
今はハードディスクケース買って耐久性はある程度信頼できるＷＤの内臓ハードディスクをいくつもぶち込んでるよ

[0109 ウィズコロナの名無しさん 2023/03/20(月) 19:37:48.21 ID:O/mOxhx50]

　


スマホ版は？


　　　

[0110 ウィズコロナの名無しさん 2023/03/20(月) 19:37:50.43 ID:JeM+LfTc0]

エロ動画はMPC-BE、エロ画像はNeeView

[0111 ウィズコロナの名無しさん 2023/03/20(月) 19:37:59.60 ID:Nr2yOjBM0]

ベタな手口wwww

[0112 ウィズコロナの名無しさん 2023/03/20(月) 19:38:15.89 ID:O/mOxhx50]

>>104
ゴムだけやろ

[0113 ウィズコロナの名無しさん 2023/03/20(月) 19:38:17.09 ID:6EqBzmJr0]

vlcとか懐かしすぎる
まだ使ってるやついたのか

[0114 ウィズコロナの名無しさん 2023/03/20(月) 19:38:57.04 ID:zb2XxhvM0]

>>52
ちょっと燃やしても灰の中にスパイウェアが残る可能性があるから完全燃焼させろよ

[0115 ウィズコロナの名無しさん 2023/03/20(月) 19:39:15.03 ID:dotX4WPa0]

>>4
韓国は米韓同盟あるから問題なし。無理に韓国入れてるのがわざとらしいぞ

[0116 ウィズコロナの名無しさん 2023/03/20(月) 19:39:15.21 ID:O/mOxhx50]

>>113
メディアプレーヤークラシックとか使ってそう

[0117 ウィズコロナの名無しさん 2023/03/20(月) 19:39:30.28 ID:RSXiakVE0]

マジかよ、ほんとロクなことせんな…
サヨクのアホどもは

[0118 ウィズコロナの名無しさん 2023/03/20(月) 19:39:37.55 ID:5cIqafkA0]

https://pbs.twimg.com/media/FqftR8takAA2dax.jpg

[0119 ウィズコロナの名無しさん 2023/03/20(月) 19:39:56.40 ID:OEDLgxt20]

ワイもノートPCに接続した外付けHDDに勝手に電源が入ってウォンウォン言ってる時があるけどVLCの仕業だったのか
かなりのエロ動画がのぞき見されたんだな

[0120 ウィズコロナの名無しさん 2023/03/20(月) 19:39:57.43 ID:39MaMeHO0]

ディフェンダーで検出しないん？

[0121 ウィズコロナの名無しさん 2023/03/20(月) 19:39:58.58 ID:tX0ykb120]

>>5
フランス製アプリに特亜のカスが変な工作しかけてるって話な

[0122 ウィズコロナの名無しさん 2023/03/20(月) 19:40:03.02 ID:f063b9tM0]

>>88
Windowsメディアプレーヤー

[0123 ウィズコロナの名無しさん 2023/03/20(月) 19:40:15.87 ID:saAnoEqh0]

>>118
ワロタ

[0124 ウィズコロナの名無しさん 2023/03/20(月) 19:40:52.10 ID:3zWaM9zL0]

アンインストールすればいいのか？
ネットバンキング使ってたんだが大丈夫かな

[0125 ウィズコロナの名無しさん 2023/03/20(月) 19:41:10.77 ID:GG3pXEBP0]

変なサイトからダウンロードしなければいいよね

[0126 ウィズコロナの名無しさん 2023/03/20(月) 19:41:26.36 ID:/axpULIJ0]

>>115
日本にとって韓国はアダムの国だもんな

[0127 ウィズコロナの名無しさん 2023/03/20(月) 19:41:31.05 ID:qLWbblSz0]

>>87
あれ、LINEは韓国製じゃねーか？
LINEのデータは韓国国内に置いてある鯖を経由してるとか
今は韓国にルーツがある孫正義がLINEを買い取って傘下にしてるが

[0128 ウィズコロナの名無しさん 2023/03/20(月) 19:42:08.25 ID:ByUAv2ew0]

>>118
VLC逝ってしまったん

[0129 ウィズコロナの名無しさん 2023/03/20(月) 19:42:15.67 ID:GHZ3HK9j0]

昔使ってたな
気をつけよう

[0130 ウィズコロナの名無しさん 2023/03/20(月) 19:42:22.03 ID:pONiBmKB0]

>>4
似たようなもんだろ
https://youtu.be/QFWgabgvMl8

[0131 ウィズコロナの名無しさん 2023/03/20(月) 19:42:52.45 ID:9GA2e/7Z0]

QUICKPlayerが懐かしい
毎回プロ版まで買ってたのに

[0132 ウィズコロナの名無しさん 2023/03/20(月) 19:42:59.09 ID:p5diprly0]

要は偽サイトからダウソしたVLCプレイヤーをインスコしなきゃ良いんだろ？
アプリのランキングサイトとか二時配布は全部ゴミだから
避けるの徹底すれば良い

[0133 ウィズコロナの名無しさん 2023/03/20(月) 19:43:20.35 ID:VvsEUK5V0]

他の物に感染するかもしれんからマスクした方が良いと思う

[0134 ウィズコロナの名無しさん 2023/03/20(月) 19:43:35.64 ID:jNNWaArV0]

オープンソースすら怖くて使えないなら
自作するしか無いだろ