VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。 SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。 レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。 2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。 こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。 WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース) 3/17(金) 7:39配信 https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。 中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。 悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。 WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。 2023/03/18 16:39 https://news.mynavi.jp/techplus/article/20230318-2629163/ https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg ソフトを削除したら勝手に必要なdllも連れて行って往生した思い出 >>20 10年以上前使ってたな 今は韓国製のGOMPlayer これが一番使いやすい 動画は、ローカルファイルで見ることほとんどなくなったな つべとか、ネットストリーミングが主流でしょ > 名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、 > 特別に細工された悪意のあるlibvlc.dllファイルによって配布されている こんなもん どっからインストールしてきてるんだよw アプリストアでVLCの名前で配布してたわけじゃないんだろ >>37 スパイウェアで一時期話題になった奴じゃん… あれはVLCと中国のせいだったんか バッファローの外付けHDDがいつも使用中で安全な取り外しできないの変だと思ったわ 誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。 ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。 >>33 SMプレーヤーもエロ鑑賞で十分使えるよ 動画の途中で閉じてもその再生部分を記録していてそこから始まるし 拡大機能はキーボードのWボタン縮小はEボタンでできるから 勿論再生のスピード調整も思いのまま これは公式以外が配布してるやつを インストールしたらダメだよってやつでは? >>15 お前が狙われることはないから安心して使っていいよ isoファイル開くのに活用してた記憶があるわ あれヤバかったんだな VLCは一度は通る道やな んでMPCとかに落ち着くと >>44 GooglePlayストアや Windowsストア(MSストア?)からの署名付きのアプリ以外 野良アプリインストールする奴なんて 完全に自己責任でしょ GoProの動画これでしかみれん…。 gomめっちゃ重いんだけど自分だけ? >>1 は要するにカスタマイズされたやつじゃなくて公式サイトのだけインスコしろってこと >>40 >>54 PC初心者か? 全てのソフトはスパイウェアだのマルウェアだの言われてるぞ EXEとか変な実行ファイルクリックしなきゃ問題ないんだよ >>46 んだな つか公式以外でダウンロードしちゃダメだろ普通に メデイアクラシックなんたら使ってるけど危ないがいっぱいですか? 知らんメールやサイトでVLCに偽装したマルウェアダウンロードして使うようなアホがいるってことかな ワイヤレスセキュリティカメラでVLC使ってる人多そう 発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。 中露の連携で国をあげてサイバーテロ攻撃で 世界を破壊しようとしているの? PCの動画をクロムキャストで再生するの便利なんだけど何使えばいいんだよ >>68 解説サイトとかから誘導されて そのままインストールしちゃう人とか いないわけでもない 日本人には対処不能 どんなに泥棒に入られようとも鍵を掛けずに毎回大騒ぎしてる池沼だから PC初心者なのですが自首してきたほうが良いでしょうか? アンインストールしたからといって トロイの木馬までアンインストールしてくれるとは限らない ハッカーグループより>>1 の方が悪意があるというか、無知というか… まぁVLCなんか使わないけどさ >>76 泥棒に対抗するために銃で武装して身内殺してしまうよりマシ withSecureは、ぱよちんでお馴染み「F-Secure」の名称変更した会社 ttps://cloud.watch.impress.co.jp/docs/news/1397156.html >>4 そう思わせておいて味方が仕込んでくることもあるから油断できない どのプレイヤーもネット接続させなければいいだけだろ FWで遮断しとけ >>68 そんな人が結構?いるってことにびっくりするよね 公式ストアからの署名付き以外で よう知らんバイナリなんかインストール・実行できるもんだ 自分は昔からアプリ入れるときは開発国まで確認して入れてるよ 中華ソフトは絶対入れないわ まあ唯一小中華系のLINEは入れてるけど >>43 それはバッファローのファームがおかしいだけやろw クリスマスになるとハッキングされて帽子被ってるよな まあ情弱はこういうフリーツールはむやみに使わないに限る >>90 バッファローは分解してみるとわかるけど、 随分いい加減に作ってるなという印象ww で、マイクロソフトのdefenderで感知してくれるん? >>68 フリーソフトを紹介するまとめサイト的な物を悪意の有る奴が作って本家と似たサイトに誘導して配布してそうだな オレンジのアイコンのやつ? Googlepixelデフォルトでアプリ入ってたんだけど >>43 バッファローの奴は俺もよくなってた IOデータの方がそれも含めて大分使いごごちが良かったからそっちの方使ってた 今はハードディスクケース買って耐久性はある程度信頼できるWDの内臓ハードディスクをいくつもぶち込んでるよ >>52 ちょっと燃やしても灰の中にスパイウェアが残る可能性があるから完全燃焼させろよ >>4 韓国は米韓同盟あるから問題なし。無理に韓国入れてるのがわざとらしいぞ >>113 メディアプレーヤークラシックとか使ってそう マジかよ、ほんとロクなことせんな… サヨクのアホどもは ワイもノートPCに接続した外付けHDDに勝手に電源が入ってウォンウォン言ってる時があるけどVLCの仕業だったのか かなりのエロ動画がのぞき見されたんだな >>5 フランス製アプリに特亜のカスが変な工作しかけてるって話な アンインストールすればいいのか? ネットバンキング使ってたんだが大丈夫かな >>87 あれ、LINEは韓国製じゃねーか? LINEのデータは韓国国内に置いてある鯖を経由してるとか 今は韓国にルーツがある孫正義がLINEを買い取って傘下にしてるが QUICKPlayerが懐かしい 毎回プロ版まで買ってたのに 要は偽サイトからダウソしたVLCプレイヤーをインスコしなきゃ良いんだろ? アプリのランキングサイトとか二時配布は全部ゴミだから 避けるの徹底すれば良い 他の物に感染するかもしれんからマスクした方が良いと思う オープンソースすら怖くて使えないなら 自作するしか無いだろ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる