Underc0de

Los investigadores de seguridad han descubierto una campaña maliciosa de larga duración de piratas informáticos asociados con el gobierno chino que utilizan VLC Media Player para lanzar un cargador de malware personalizado.

La campaña parece tener fines de espionaje y se ha dirigido a varias entidades involucradas en actividades gubernamentales, legales y religiosas, así como a organizaciones no gubernamentales (ONG) en al menos tres continentes.

Esta actividad se ha atribuido a un actor de amenazas rastreado como Cicada (también conocido como menuPass, Stone Panda, Potasio, APT10, Red Apollo) que ha estado activo durante más de 15 años, al menos desde 2006.

Uso de VLC para implementar un cargador de malware personalizado

El inicio de la campaña actual de Cicada se ha rastreado hasta mediados de 2021 y todavía estaba activo en febrero de 2022. Los investigadores dicen que esta actividad puede continuar hoy.

Hay evidencia de que algún acceso inicial a algunas de las redes violadas fue a través de un servidor de Microsoft Exchange, lo que indica que el actor explotó una vulnerabilidad conocida en máquinas sin parches.

Los investigadores de Symantec, una división de Broadcom, descubrieron que después de obtener acceso a la máquina de destino, el atacante implementó un cargador personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC.

Brigid O Gorman de Symantec Threat Hunter Team le dijo a BleepingComputer que el atacante usa una versión limpia de VLC con un archivo DLL malicioso en la misma ruta que las funciones de exportación del reproductor multimedia.

La técnica se conoce como carga lateral de DLL y es ampliamente utilizada por los actores de amenazas para cargar malware en procesos legítimos para ocultar la actividad maliciosa.

Aparte del cargador personalizado, del que O Gorman dijo que Symantec no tiene nombre pero que se ha visto en ataques anteriores atribuidos a Cicada/APT10, el adversario también implementó un servidor WinVNC para obtener control remoto sobre los sistemas de las víctimas.

El atacante también ejecutó la puerta trasera Sodamaster en redes comprometidas, una herramienta que se cree que utiliza exclusivamente el grupo de amenazas Cicada desde al menos 2020.

Sodamaster se ejecuta en la memoria del sistema (sin archivos) y está equipado para evadir la detección buscando en el registro pistas de un entorno de pruebas o retrasando su ejecución.

El malware también puede recopilar detalles sobre el sistema, buscar procesos en ejecución y descargar y ejecutar varias cargas útiles desde el servidor de comando y control.

Varias otras utilidades que se han observado en esta campaña incluyen:

- Herramienta de archivo RAR: ayuda a comprimir, cifrar o archivar archivos, probablemente para exfiltración
- Detección de sistemas/redes: una forma para que los atacantes conozcan los sistemas o servicios conectados a una máquina infectada.
- WMIExec: herramienta de línea de comandos de Microsoft que se puede usar para ejecutar comandos en computadoras remotas
- NBTScan: una herramienta de código abierto que se ha observado que utilizan los grupos APT para el reconocimiento en una red comprometida

El tiempo de permanencia de los atacantes en las redes de algunas de las víctimas descubiertas duró hasta nueve meses, señalan los investigadores en un informe de hoy.

Un enfoque más amplio

Muchas de las organizaciones a las que se dirige esta campaña parecen estar relacionadas con el gobierno o con ONG (involucradas en actividades educativas o religiosas), así como empresas de los sectores de telecomunicaciones, legal y farmacéutico.

Los investigadores de Symantec destacan la amplia geografía de esta campaña Cicada, que cuenta víctimas en EE. UU., Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.

Para tener en cuenta, solo una víctima es de Japón, un país que ha sido el foco del grupo Cicada durante muchos años.

En comparación con la orientación anterior de este grupo, que se centró en empresas vinculadas a Japón, las víctimas de esta campaña indican que el actor de amenazas ha ampliado su interés.

Si bien se centró en empresas vinculadas a Japón, Cicada se ha centrado en los sectores de salud, defensa, aeroespacial, finanzas, marítimo, biotecnología, energía y gobierno en el pasado.

Al menos  dos miembros del grupo de amenazas APT10 han sido acusados  ​​en los EE. UU. por actividades de piratería informática para ayudar a la Oficina de Seguridad del Estado de Tianjin del Ministerio de Seguridad del Estado (MSS) de China a obtener propiedad intelectual e información comercial confidencial de proveedores de servicios administrados, agencias gubernamentales de EE. UU. y más de 45 empresas de tecnología.

Fuente:https://www.bleepingcomputer.com/

No me queda claro si el propio vlc es la via de infección, si es un addon del vlc o si abriendo con el VLC algo hay via de infección. Por otro lado hay cosas como mezcladas, que si se usa exchange con exploits conocidos. Que si hay otras herramientas involucradas. Y me despista un poco la descripccion.

¿Existe problema en el VLC?

Al parecer sí.

He visto esta noticia corroborada en varias fuentes serias y de reputación. Y cuando el río suena...

Recomiendo con lo que me ha ido bien:

Primero instalar K-Lite Codec Pack y con su Media Player Classic x64 que es un reproductor excelente

https://www.codecguide.com/download_kl.htm

Y "para bonito" que también es muy bueno el PotPlayer

(https://i.postimg.cc/fRxpZLJY/Desktop-4-7-2022-3-33-18-PM-3.png) (https://postimages.org/)

https://potplayerapp.com/

El lleva un OpenCodec que si desea se lo pone, y si no, no, pues el K- Lite ya está en el sistema preponderante. Solo tiene que asociar los archivos que desea que el PotPlayer abra de manera predeterminada.

Y para tener los nervios tranquilos... cerrado y controlado con el firewall... por si acaso. Que las actualizaciones van manual.

@AXCESS

Le recomiendo estos también:

*.- mpv;
*.- mplayer;
*.- SMPlayer.

Son multiplataforma, además que son ligeros, rápidos y flexibles.

~ DtxdF

El SMPlayer lo uso en Linux: Ubuntu, WifiSlax, etc.

Sus recomendaciones también son muy buenas.

@AXCESS

Ah, eso suena excelente. Le recomendé reproductores multiplataforma que son alternativas a VLC. Hay uno más que viene con XFCE4 y que tuve la oportunidad de usar con ZorinOS, el cual se llama Parole, y es muy sencillo, pero es fácil de usar y la interfaz me parece bella.

~ DtxdF

Los que habéis visto fuentes fiables de que existe error en el VLC ¿teneis CVE? En tal caso ¿Existe parche?, ¿Podéis pasar esas fuentes para poder leerlas?

ACTUALIZACION: Joder, ya me habiais asustado:

Citar

The attacker uses a clean version of VLC with a malicious DLL file in the same path as the media player's export functions.

The technique is known as DLL side-loading and it is widely used by threat actors to load malware into legitimate processes to hide the malicious activity.

El VLC no tiene un exploit, ni una falla en la visualización. Se esta haciendo una sobrecarga de librerias que los malos utilizan para ejecutar lo que les sale del apio.

Estaba preparando cosicas de cara a poner una seccion de material con CTFs por aqui con videos y ctfs para aprender. Aunque esta bastante avanzado queda un poco. Estaría bien hacer un video de hacer esto en por ejemplo un linux??


animanegra@burrito:/tmp/mierda$ vlc
Hola mundo

VLC media player 3.0.16 Vetinari (revision 3.0.13-8-g41878ff4f2)
Hola mundo

Hola mundo

Hola mundo

Hola mundo

[00005631b9cdf9c0] main libvlc: Running vlc with the default interface. Use 'cvlc' to use vlc without interface.
Hola mundo

[00005631b9d7e460] main playlist: playlist is empty


Se me esta ocurriendo, como aparte de lo que estoy gestando, coger noticias de este tipo y hacer un ¿como lo hicieron? o algo asi.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Se me esta ocurriendo, como aparte de lo que estoy gestando, coger noticias de este tipo y hacer un ¿como lo hicieron? o algo asi.

¡Esa si es una excelente idea!

Realmente no han infectado el verdadero VLC, han creado una plataforma igual la cual ya venía el malware