Cyberkriminelle verwenden den beliebten VLC Media Player, um Malware zu verbreiten und Regierungsbehörden und angrenzende Organisationen auszuspionieren, haben Cybersicherheitsforscher gewarnt.
Wie BleepingComputer berichtet, zielt ein Bedrohungsakteur namens Cicada (auch bekannt als Stone Panda und APT10) auf Organisationen im Regierungs-, Rechts- und NGO-Sektor sowie auf einige, die an „religiösen Aktivitäten“ beteiligt sind.
Diese Organisationen befinden sich hauptsächlich in den Vereinigten Staaten, Kanada, Hongkong, der Türkei, Israel, Indien, Montenegro und Italien. Da Japan traditionell das Hauptjagdgebiet für Zikaden ist, vermuten die Forscher, dass die Gruppe ihren Horizont erweitert.
breitere Angriffe
Cicada scheint auch ein breiteres Spektrum von Branchen anzugehen, da sich die Gruppe in der Vergangenheit auf Unternehmen aus den Bereichen Gesundheitswesen, Verteidigung, Luft- und Raumfahrt, Finanzen, Marine, Biotechnologie und Energie konzentriert hat.
Die Malware, die in dieser letzten Angriffsrunde verwendet wird, ist unbenannt, aber die Forscher von Symantec, die hinter der Entdeckung stehen, glauben, dass sie für Spionage verwendet wird.
Der Angreifer, der offenbar chinesischer Herkunft ist, nutzte offenbar eine bekannte Schwachstelle in Microsoft Exchange Server, um sich einen ersten Zugriff zu verschaffen. Die Kampagne startete Mitte 2021 und wird möglicherweise noch andauern.
Im Gespräch mit Bleeping Computer sagte Brigid O Gorman von Symantec, dass die Angreifer die Malware „hochgeladen“ hätten, indem sie eine saubere Version von VLC mit einer bösartigen DLL-Datei im selben Pfad wie die Exportfunktionen des Mediaplayers verwendeten.
Neben der Malware implementierte Cicada auch einen WinVNC-Server zur Fernsteuerung und die Sodamaster-Hintertür.
Zu den Daten, die Cicada mit seiner Malware sammelt, gehören Systemdetails und aktive Prozesse. Es kann auch verschiedene Payloads herunterladen und ausführen.
Über BleepingComputer (Wird in einem neuen Tab geöffnet)
