Expertos en seguridad han descubierto una campaña maliciosa de larga duración de piratas informáticos asociados con el gobierno chino que están utilizando VLC Media Player para lanzar un cargador de malware personalizado.
La campaña parece tener fines de espionaje y se ha dirigido a varias entidades relacionadas con actividades gubernamentales, legales y religiosas, así como a organizaciones no gubernamentales (ONG) en al menos tres continentes.
Esta actividad ha sido atribuida a un actor de amenazas rastreado como Cicada (también conocido como menuPass, Stone Panda, Potassium, APT10, Red Apollo) que ha estado activo durante más de 15 años, desde al menos 2006.
El inicio de la campaña actual de Cicada ha sido rastreado hasta mediados de 2021 y seguía activo en febrero de 2022. Los investigadores afirman que esta actividad puede continuar en la actualidad.
Hay pruebas de que el acceso inicial a algunas de las redes vulneradas se realizó a través de un servidor de Microsoft Exchange, lo que indica que el actor explotó una vulnerabilidad conocida en máquinas sin parches.
Los investigadores de Symantec, una división de Broadcom, descubrieron que, tras obtener acceso a la máquina objetivo, el atacante desplegó un cargador personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC.
La técnica se conoce como carga lateral de DLL y es ampliamente utilizada por los actores de amenazas para cargar malware en procesos legítimos para ocultar la actividad maliciosa.
Muchas de las organizaciones a las que se dirigió esta campaña parecen estar relacionadas con el gobierno o con ONGs (involucradas en actividades educativas o religiosas), así como con empresas de los sectores de telecomunicaciones, legal y farmacéutico.
Los investigadores de Symantec destacan la amplia geografía de esta campaña de Cicada, que cuenta con víctimas en Estados Unidos, Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.
Cabe destacar que sólo una de las víctimas es de Japón, un país que ha sido el objetivo del grupo Cicada durante muchos años.
En comparación con los objetivos anteriores de este grupo, que se centraban en empresas vinculadas a Japón, las víctimas de esta campaña indican que el actor de la amenaza ha ampliado su interés.
Aunque se centró en empresas vinculadas a Japón, Cicada ha atacado en el pasado a los sectores sanitario, de defensa, aeroespacial, financiero, marítimo, biotecnológico, energético y gubernamental.
Info – Ciberseguridad Latam