Chinesische Hacker verwenden den VLC Media Player, um Cyberangriffe zu starten

Eskere Guru

Forscher entdeckten, dass chinesische Hacker den VLC Media Player verwendet haben, um Cybersicherheitsangriffe zu starten.

Die Hackergruppe, die angeblich mit der chinesischen Regierung verbunden ist, verwendet den beliebten Videoplayer, um Malware auf dem Zielcomputer zu installieren.

Ein großer Monitor, auf dem eine Warnung vor Sicherheitsverletzungen angezeigt wird.
Stock Depot/Getty Images

Diese Aktivitäten wurden auf eine Hackergruppe namens Cicada zurückgeführt, die auch unter einer langen Liste anderer Namen wie menuPass, Stone Panda, APT10, Potassium und Red Apollo bekannt ist. Cicada gibt es schon lange – mindestens seit 2006.

Die Malware, die den Opfern des Angriffs bereitgestellt wird, öffnet Hackern die Tür, um alle Arten von Informationen zu erhalten. Es kann Wissen über alles über das System gewähren, laufende Prozesse durchsuchen und Dateien auf Befehl herunterladen, was das Missbrauchspotenzial nur erweitert. Solche Stealth-Angriffe sind keine Seltenheit , aber dieser scheint in großem Umfang stattgefunden zu haben.

Diese Kampagne mit dem beliebten VLC Media Player scheint zu Spionagezwecken gestartet worden zu sein. Laut einem Bericht von Bleeping Computer betreffen die Ziele eine breite Palette von Organisationen, die an legalen, staatlichen oder religiösen Aktivitäten beteiligt sind. Auch Nichtregierungsorganisationen wurden ins Visier genommen. Was vielleicht noch erstaunlicher ist, ist, dass sich diese Aktivität auf Entitäten auf mindestens drei Kontinenten ausgeweitet hat.

Einige der Zielländer sind die USA, Hongkong, Indien, Italien und Kanada. Überraschenderweise stammte nur eines der Opfer aus Japan. Die Cicada-Gruppe hat Japan in der Vergangenheit viele Male für ihre Cyberangriffe ins Visier genommen. Nachdem die Angreifer Zugriff auf den Computer des Opfers erhalten hatten, konnten sie ihn bis zu neun Monate lang warten.

VLC Media Player.

Obwohl VLC zum Bereitstellen von Malware ausgenutzt wurde, war die Datei selbst sauber. Anscheinend wurde eine sichere Version von VLC mit einer schädlichen DLL-Datei kombiniert, die sich an der Stelle befindet, an der sich die Exportfunktionen des Mediaplayers befinden. Dies wird als DLL-Seitenladen bezeichnet, und Cicada ist nicht die einzige, die diese Technik verwendet, um Malware in Programme hochzuladen, die ansonsten sicher sind.

Der von Cicada verwendete Custom-Loader war offenbar schon bei früheren Angriffen zu sehen, die ebenfalls mit dem Hacker-Team in Verbindung standen. Um sich zunächst Zugang zu den geknackten Netzwerken zu verschaffen, wurde ein Microsoft Exchange-Server ausgenutzt. Zusätzlich wurde ein WinVNC-Server eingesetzt, um eine Fernsteuerung über die von der versteckten Malware betroffenen Systeme herzustellen.

Hinter dem VLC-Exploit steckt mehr, als man auf den ersten Blick sieht. Darüber hinaus wurde ein Exploit namens Sodamaster verwendet, der heimlich im Systemspeicher läuft, ohne dass Dateien benötigt werden. Es ist in der Lage, die Erkennung zu vermeiden und die Ausführung beim Start zu verzögern.

Obwohl diese Angriffe sicherlich gefährlich sind, muss sich nicht jeder Benutzer von VLC Sorgen machen. Der Mediaplayer selbst hat sich als sauber erwiesen, und die Hacker scheinen einen sehr gezielten Ansatz zu haben, der sich auf bestimmte Entitäten konzentriert. Bei PCs ist es jedoch immer wichtig, die Sicherheit im Auge zu behalten.

Die Informationen stammen von Symantec und wurden von Bleeping Computer gemeldet. Die Forscher von Symantec haben herausgefunden, dass diese Cybersicherheitsangriffe möglicherweise Mitte 2021 begonnen haben und im Februar 2022 fortgesetzt wurden. Es ist jedoch durchaus möglich, dass diese Bedrohung bis heute andauert.