ระวัง! แฮกเกอร์กำลังใช้โปรแกรมที่รู้จักกันดีนี้เพื่อแฮ็คพีซีของคุณ

April 8, 2022 แมตต์มิลส์ ข่าว 0

เมื่อเวลาผ่านไป ปริมาณข้อมูลส่วนบุคคลที่เราจัดเก็บและใช้งานบนคอมพิวเตอร์ของเราเพิ่มขึ้น ดังนั้นเราต้องดูแลความปลอดภัยจากโปรแกรมที่เราติดตั้งให้ไม่มีรั่วไหลหรือจุดบกพร่องด้านความปลอดภัยอย่างที่เคยเกิดขึ้นกับ VLC.

พวกคุณหลายคนคงทราบดีอยู่แล้วว่าในที่นี้เราหมายถึงเครื่องเล่นมัลติมีเดียที่ได้รับความนิยมและใช้มากที่สุดในโลก นี่คือผลิตภัณฑ์ที่ได้รับความไว้วางใจมากที่สุดในช่วงหลายปีที่ผ่านมา และเราพบผลิตภัณฑ์ดังกล่าวบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ส่วนใหญ่ อย่างไรก็ตาม จากที่เรารู้ตอนนี้ นักวิจัยด้านความปลอดภัยได้ค้นพบ a แคมเปญที่เป็นอันตรายที่ส่งผลโดยตรงต่อซอฟต์แวร์นี้.

แฮกเกอร์กำลังใช้โปรแกรมที่รู้จักกันดีนี้เพื่อแฮ็คพีซีของคุณ

โดยเฉพาะอย่างยิ่ง เราหมายถึงชุดของแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลจีนคือ ใช้ VLC เพื่อเปิดใช้ตัวโหลดมัลแวร์ที่กำหนดเอง . ในตอนแรก ทุกอย่างบ่งชี้ว่านี่เป็นจุดประสงค์ในการจารกรรม เราพูดแบบนี้เพราะในขั้นต้นกำหนดเป้าหมายหน่วยงานต่างๆ ที่เกี่ยวข้องกับกิจกรรมของรัฐบาล กฎหมาย และศาสนา ในทำนองเดียวกัน มีการพบร่องรอยการโจมตีผ่านแอปในองค์กรพัฒนาเอกชนในอย่างน้อยสามทวีป

เป็นมูลค่าการกล่าวขวัญว่ากิจกรรมที่เป็นอันตรายนั้นมาจากกลุ่มที่รู้จักกันดีที่เรียกตัวเองว่าจั๊กจั่น เรากำลังพูดถึง an โจมตี ที่เคยใช้ชื่ออื่นมาก่อนและเปิดใช้งานมาตั้งแต่ปี 2006 ในขณะเดียวกันก็น่าสนใจที่ทราบว่าการเคลื่อนไหวครั้งแรกในเรื่องนี้ถูกตรวจพบในกลางปี ​​2021 แต่เขายังคงเคลื่อนไหวอยู่ จนถึงปัจจุบัน

VLC เหยื่อมัลแวร์จารกรรม

เพื่อให้เราทราบข้อมูลทั้งหมดนี้ มีหลักฐานว่าการเข้าถึงเครือข่ายที่ถูกบุกรุกในขั้นต้นนั้นเกิดขึ้นผ่าน ไมโครซอฟท์ เซิร์ฟเวอร์แลกเปลี่ยน . ต่อมา ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัย Symantec พบว่า หลังจากเข้าถึงได้ ผู้โจมตีได้ปรับใช้a ตัวโหลดแบบกำหนดเอง ในระบบอื่นๆ ที่ถูกบุกรุกด้วย ความช่วยเหลือของVLC .ดังกล่าว .

ภาพ vlc

ตามที่ได้มีการค้นพบแล้ว ผู้โจมตีใช้โปรแกรมเล่นสื่อยอดนิยมเวอร์ชันสะอาด ประกอบด้วยไฟล์ DLL ที่เป็นอันตรายซึ่งจัดเก็บไว้ในเส้นทางเดียวกับฟังก์ชันการส่งออกของโปรแกรมเล่นสื่อ เป็นเทคนิคที่เรียกว่า การไซด์โหลด DLL และใช้กันอย่างแพร่หลายในการโหลดมัลแวร์เข้าสู่กระบวนการที่ถูกต้องและซ่อนกิจกรรมที่เป็นอันตราย นอกจากตัวโหลดแบบกำหนดเองที่เรากล่าวถึง เซิร์ฟเวอร์ WinVNC ยังแสดงอีกด้วย ด้วยสิ่งนี้มันเป็นไปได้ที่จะ รับการควบคุมระยะไกลของระบบ ของผู้ประสบภัย.

ในทางกลับกัน ผู้โจมตีคนเดียวกับที่เรากำลังคุยกันอยู่นี้ใช้เครื่องมือที่เชื่อว่าเป็นกรรมสิทธิ์ของ Sodamaster และใช้มาตั้งแต่อย่างน้อยปี 2020 ที่ผ่านมา โดยจะทำงานในหน่วยความจำของระบบและติดตั้งเพื่อหลบเลี่ยงการตรวจจับโดยผู้โจมตี ติดตั้งซอฟต์แวร์ความปลอดภัยแล้ว ชุดที่เป็นอันตรายทั้งหมดก็เตรียมที่จะ รวบรวมข้อมูลจำนวนมากจากคอมพิวเตอร์ที่ได้รับผลกระทบ . เราพูดถึงข้อมูลที่มีความสำคัญของระบบปฏิบัติการหรือกระบวนการที่ทำงานอยู่ นอกเหนือจากการดาวน์โหลดและดำเนินการเพย์โหลดอันตรายต่างๆ จากเซิร์ฟเวอร์ควบคุมแล้ว