VLC Media Playerに紛れ込むマルウェア「SILKLOADER」 中国、ロシアのサイバー犯罪グループが活用か [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。
SILKLOADERはローダー(Loader)と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。
レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。
2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。
こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。
WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な(off the shelf)ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。(以下ソース)
3/17(金) 7:39配信
https://news.yahoo.co.jp/articles/3fc2d6f25cc7dc0b1057e5b801af706df19df38a
フィンランドのサイバーセキュリティベンダーであるWithSecureは3月16日(現地時間)、「SILKLOADER:Journey of a Cobalt Strike beacon loader along the silk road|WithSecure Labs」において、Cobalt Strikeをロードするよう設計されたマルウェアを発見したことを伝えた。「SILKLOADER」と名付けられた新たな脅威の存在が明らかになった。
中国およびロシアのサイバー犯罪エコシステムに属する攻撃グループが、DLLサイドローディングを使って感染したマシンにCobalt Strikeをロードするマルウェアを活用していることが明らかとなった。発見されたSILKLOADERのサンプルは、名称が変更されているVLCメディアプレーヤーのバイナリファイル(Charmap.exe)と一緒にドロップされる、特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている。
悪意のあるVLCバイナリを実行するとDLLサイドローディングにより悪意のあるDLLがシステムに配置され、LithiumLoader4などのCobalt Strikeビーコンを起動してコマンド&コントロール(C2: Command and Control)サーバに接続することが確認されている。
WithSecureは、このマルウェアはもともと中国のサイバー犯罪のエコシステム内で作成されたものと評価している。その後、ロシアのサイバー犯罪エコシステム内で販売されたか、あるいは提供された可能性があるとみており、現在は既製のローダとして脅威者に提供されている可能性が高いと分析している。
2023/03/18 16:39
https://news.mynavi.jp/techplus/article/20230318-2629163/
https://news.mynavi.jp/techplus/article/20230318-2629163/images/002l.jpg >>60
そして、それをバラまくけどどうする?ビットコイン送ればやめてやるよ、というメールが来る。払えば完全に消去して2度と連絡しないというので、高めの勉強代だと思ったわ。ビットコインの勉強にもなったし災い転じて福となす、だな。 昔はまあいろいろ溜め込んだものだけど
いまどき謎フォーマットの動画ファイルなんてローカルにひとつもないわなあ 黎明期にめっちゃ使いにくくて捨てたソフト
当時は終了時に設定が残らない(音量すら設定画面まで入って行ってapplyしないとダメ)って凄い仕様だった 一応最新のにバージョンアップしといたけどこれだったら大丈夫なのかな? >>28
そしてコオロギ庁はAppleとGoogleに対してサイドローディングさせろー!って要求wwww 練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出
https://bunshun.jp/articles/-/61507 さあwindows メディアプレーヤーに変えるか。 あーこれな
正規に配布されてるバイナリじゃないもともと悪意のある改変されてるやつの話だって vlc使ってたわ
他になんでも再生できてマルウエア入ってないやつ教えてくれ アンインストして本家のインストーラーで入れ直せってことか? 前に俺も評価信じてダウンロードしたけど思ってたのと違って即削除した >>396
サイドローディングの悪用だから、>>1もどうしてDLLが悪用されたのか詳細書いてないからなんとも
現状では使わない以上にどーしようもないと思うよ
ようは公式のインストーラーでインストールしていても
動画プレーヤーやアーカイブツールとかでもよくあるように
外部DLLとかを取得できる機能があるじゃん
(ある特定のコーデックの動画を再生しようとした時に
DLLとかコーデックが不足しているので取得しますか、みたいなあれ)
そこを悪用して不正なDLLを落とさせるやり方なんで
Windows Media Playerであっても防げないケースはあるよ 補足すると再生する動画ファイル側に
サイドローディングを悪用する変なもん仕込んでおいて
VLCで再生する時にVLCの正規機能を悪用するって話だし
この動画を再生するには、ここにあるDLLとかコーデックを使ってちょ!
とVLCに伝えることでVLCはわかったよーんって落としに行く感じの機能ね
で指示されたサイトにあるDLLとかが不正なもんだと
VLCは指示された通りに取りに行くだけなんで
VLC上はなんら不正な処理ではないし、EPPソフトも
新しい不正DLLとか配布サイトまで完璧に追従できんから
漏れて取得してしまう事がある >>401
悪意のあるVLCバイナリを実行するとだ
つまるところ最初から自分で変なものをインストールするとそうなるってことだ >>402
それだとサイドローディング関係ないじゃんw
VLCを名乗る亜種をインストールしただけの話でしょ まあ亜種だね
動画に関係ないものもサイドロードできるようにして様々な用途の踏み台にできるようになっている
中露から使われるゾンビPCになる >>406
いや、そもそも怪しいところから入手したウイルス入りソフトなのが問題なら
サイドローディングうんぬんは直接は関係ないじゃんw
サイドローディングできるようにして、とか以前の話なんだからw 正規のVLCをインストールしていてもサイドローディング機能の脆弱性なりを突かれて
マルウェアが入ってしまうって話ならわかるけどさw
怪しいサイトで取得したウイルス入りのVLCを入れましたってだけの話なのに
サイドローディングがー!とか>>1の記事書いた奴アフォなのw 公式に成りすましたうえに検索上位に出てくる偽サイトもあるし
VLCは中露の犯罪者に狙われてるんだろうね >>409
アカ組はネットと切り離せば良いんだよ。 >>409
それはわかるんだけど、それはサイドローディングの悪用とかじゃないよねw
単純にVLCに成りすましたもしくはオープンソースを悪用しただけのウイルス入り不正ツールにすぎないわけで VLCが表に出ただけでフリーウェアにはよくある事
素人に毛の生えたのが、俺は使いこなせるってフリーウェアバカスカ入れるんだよね >>366
公式から落としたじゃなくて
何らかの方法で公式から誘導された別サイトでのアップデートな
そしてすぐに対策されている
アップデートサーバーが不正アクセスされていただけなのにあたかも公式が意図的にマルウェアを仕込んだような言い方するのやめなよ
そもそも10年前の話をいつまでしてるの?
中国韓国の製品はネトウヨの厳しいそして悪意のある目で見られているから実際の100倍以上イメージが悪くなっている GOMに続いてVLCもか
エロ動画は何で見たらいいんだよ! >>63
WindowsもMacもAndroidもLinuxもスパイウェアだもんな >>1
>VLC Media Player
あんなもん使ってる情弱おるんかwwwwwwwwwww >>417
安全に使いたいならネットを遮断してローカルのみで使用しないとね この際だから2画面動画プレイヤーでおすすめありますか? >>421
結局そういうことですね
なのでサイドローディングがどーとか言い出している>>1の記者はアフォだと思うわ
単純に怪しいところからダウンロードしたウイルス入りツールを入れただけの話ですw >>3
それ思ってた
気をつけろということなのかw >>403
違うのはバレ方
入れた段階ですぐに気づかれるだろ? >>400
DLLのポジティブだかネガティブリストの設定が甘いらしい >>424
いや>>1の件はサイドローディング関係ねーじゃんw
出どころ怪しいところからダウンロードしたウイルス入りVLCを入れたら感染しましたって話だろw ランサムウェアって大抵がロシア語とキリル語を使用しているOSを対象外にしてるからロシアがやってるってバレバレなんだよな >>426
ついでに改変VLCをインストールさせたあとサイドロードさせるのはどんな不正を行わせるのか機能の拡張をしたいってことだな >>428
でもそれVLCのサイドローディング機能関係ねーじゃんw
そもそもがウイルス入りVLCなんだから、VLCのサイドローディング機能以前に
そういう拡張機能いれてあればできる話なわけで
怪しいところからダウンロードしない
って当たり前の話をすればいいだけだろw >>1の書き方だと、さも公式VLCを使っていても危ないかの記事になっているって話ね
もしVLCのサイドローディング機能に脆弱性とかがあって危ないって話ならわかるよ?
でもそうじゃなくて、ウイルス入りの亜種をダウンロードしたら感染するって話だろw
馬鹿かよ書いた奴 MPC-BE
Qonoha
PotPlayer
5KPlayer
SMPlayer
今メジャーなのはこの辺りか? クイックタイムとかリアルプレイヤー形式の
細切れエロ動画に興奮してたよね 元記事読んだらVLCだけの話でもないように思えるのだが それに日本絡みの被害報告もないし 気をつけるべきだけど悪質性あるのなら公式が対応してくれるのを待つか自分でカスタムしてビルドだな >>442
> 「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。
正しくはウイルス入りのVLCを使用しただけですよね? >>444
つーか公式VLCを使うとマルウェア入るかのような記事になってるよな
結局はウイルス入りの亜種VLCを入れたらあかんね、ってだけの話なのに なんか x ero x って出来てた
消そうとしても消えないんだが
すでに乗っ取られてる? >>445
>>446
だからどこにそんなこと書いてあるの? >>247
DNS書き換えたらーってそら全部アウトだわww VLC公式からしたらたまったもんじゃないなこれ
オープンソースだしコメント出すかは知らんが 児ポを見たらすぐバレる。
警察に知らされなくなかったら我の言うことを聞くアルヨと怪しい男たちが家に来る。 >>449
逆に、本家配布のじゃないってことをわかりやすく書いてないことが正規版に脆弱性が在ると勘違いさせるんやろ >>449
>>1 の下の方のリンクからみれるマイナビの記事の方に書いてある >>434
ずっとRealOneかと思ってたらRealPlayerが正しい名前みたいだ
なんでRealOneと覚えていたのか謎すぎるww > 特別に細工された悪意のあるlibvlc.dllファイルによって配布されていることが特定されている
これがマルウェア侵入される原因なわけでサイドローディングうんぬんが原因じゃないわけ
サイドローディング機能が悪用とか、特別に細工された悪意のあるDLLとかいってるけど
記事を読むとはじめから「特別に細工された悪意のあるDLL入り」のソフトを入れた話なので
そんなもんウイルス入りソフト入れたからやられましたってだけの話だよね、といっている
普通"サイドローディング機能の悪用"といった場合、
ソフト自体は公式だけど、ソフトが持つサイドローディング機能によって
マルウェアが入ってしまう事などを意味してしまうわけでさ 正規のとこからDLしてるなら問題ないんしょ、ようするに VLCメディアプレイヤーずっと使ってるけど
アンインストールしたほうがいいの? >>457
ウイルス入りVLCなんてどこにも書いてないけどね >>459
>>1の話ならそう
公式のVLCをダウンロードして使う分には関係ない話
公式VLCのサイドローディング機能に脆弱性でもあって
悪用されるって話なら注意喚起としてわかるんだけど
記事がいってんのは
特別に細工された悪意のあるDLL「が入った」
非公式のVLCを入れた話をしているので
そんなもんウイルス入りの非公式ソフトいれたら感染した!
とかいう間抜けの話だろってのなw >>83
ここにいたぱよちん久保田部長職がtwitterのセキュリティ権限を違法に使って
はすみとしこに「いいね」した奴らの登録個人情報アクセスして脅迫したんだっけ?
なんにせよFセキュア(withSecure)は
全く謝罪なしのシカトだったからゴミのような存在 >>461
だから記事よめよ
な?
日本語わからないならレスすんな、チンカス
特別に細工された悪意のあるlibvlc.dll
は公式のVLCには入ってないの
OK?
いい加減理解してくれる?
脳みそコオロギ 記事が注意喚起しているのは
特別に細工された悪意のあるlibvlc.dllが入った非公式VLCを使うと
非公式VLCに入っている特別に細工された悪意のあるlibvlc.dllがマルウェアをPCに入れてくる
という話なだけ VLCメディアプレイヤー使ってるけど、どこからダウンロードしたのか正規なのかどうか憶えてないわ
これってもし、このウイルスに感染してたとしたらアンチウィルスソフトで分かりますか? マイナビの記事読んだらわかりやすかった。。
「名称が変更されているVLC・・・」ニセVLCを掴まされて使った 公式から入れれば今回の件は問題ないという解釈でOKでは? 気になる人は公式DLするときSHA-256載ってるから確認すれば安心感でる なので
そら細工されていない悪意もないlibvlc.dll入ったソフトいれたのが原因なわけで
サイドローディング機能の「悪用」じゃねーだろってって話 こぴぺみすってた
なので
そら特別に細工された悪意のあるlibvlc.dll入ったソフトいれたのが原因なわけで
サイドローディング機能の「悪用」じゃねーだろってって話 >>466
心配なら一度アンインストールして、気休めだけどエンドポイントプロテクションなどでフルスキャンしたあと
公式からVLCを落として、インストーラーのハッシュとかも確認した上で再度インストールすればいいのでは
あとはプレイヤーにこだわりがないならWindows標準の再生ソフトでもいいと思うけど >>24
media player classic HC >>471
ありがとうございます。
とりあえず一度アンインストールしてみます >>474
wikiより
> VLCメディアプレーヤーは、フランスの名門校であるエコール・セントラル・パリの学生らによって、VideoLANプロジェクトの一部として開発された。 >>465
サイバー攻撃する奴が寄ってくるフェロモンが出てるようなソフトの設計だったともいえるかな
中国は公式サイトにアクセスできなかったりするし
確かインドも公式サイトまでブロックした(ソフト自体がマルウェアと判断したかんじ?) ■ このスレッドは過去ログ倉庫に格納されています