吳明宜賽門鐵克安全研究人員發現一隻疑似由中國政府有關的駭客操作的惡意程式,利用許多人愛用的 VLC Media Player 散播惡意程式下載軟體。
這波攻擊背後是一個名為 Cicada 的駭客組織,主要是鎖定政府、法律、宗教、非政府組織,目的在竊取資訊監控行動,受害者至少波及三大洲。 Cicada 又稱 APT10,至少有 2 成員被美國司法部控告為中國天津國家安全局駭入美國政府機關、代管業者及科技公司電腦竊取智財及機密資訊。
研究人員最早從 20201 年中觀測到這波攻擊,而至少持續到 2 月中。駭客透過開採一台未修補漏洞的微軟 Exchange Server 而駭入受害者網路。之後再利用許多人愛用的 VLC Media Player 在受害者系統上部署客製化惡意程式下載器 (loader) 。
研究人員指出,駭客是利用 VLC Media Player 輸出功能的相同路徑,以合法的 VLC 檔案搭配惡意 DLL 檔案植入到受害者電腦,並使用遠端遙控程式 WinVNC 來控制受害機器。這類稱為 DLL 側載(side-loading)的手法很常被駭客用於在合法行程中注入惡意程式。駭客還在受害者網路中執行 Sodamaster 後門程式。研究人員指出,這兩種特徵都符合 Cicada 駭客組織過去常用的手法。
Sodamaster 會在系統記憶體內以無檔案方式執行,且以修改機碼及延遲執行藉此避免安全軟體偵測沙箱。這波攻擊中,駭客還使用了 RAR 歸檔工具用以壓縮、加密以外洩資訊、以系統/網路探索工具探詢連結感染機器的服務、可在遠端電腦上執行指令的 Windows 指令行工具 WMIExec 、以及開原碼的駭客偵察掃瞄工具 NBTScan 等。
研究人員指出,這波攻擊受害者遍及美國、加拿大、香港、土耳其、以色列、印度、義大利及蒙地卡羅等國,反而是 Cicada 過去的攻擊重點日本這次只有一家受害者。惡意程式潛伏在某些受害者電腦時間長達 9 個月。