محققان امنیت سایبری، هشدار دادهاند که مجرمان سایبری از پخشکنندهای رسانهی محبوب VLC برای توزیع بدافزارها و جاسوسی از سازمانهای دولتی و سازمانهای مجاور استفاده میکنند.
همانطور که توسط BleepingComputer گزارش شده است، عاملی تهدیدکننده بهنام Cicada که بهعنوان پانداهای سنگی و APT10 نیز شناخته میشود، سازمانهایی را در بخشهای دولتی، حقوقی و سازمانهای غیردولتی و حتی برخی از شرکتهای فعال در حوزهی “فعالیتهای مذهبی” را مورد هدف خود قرار داده است.
اغلب سازمانهایی که ذکر شدهاند در ایالات متحده، کانادا، هنگ کنگ، ترکیه، اسرائیل، هند، مونته نگرو و ایتالیا مستقر هستند. باتوجه به اینکه ژاپن بهطور سنتی، محل اصلی سیکادا بوده است، محققان تصور میکنند که این گروه مشعول به گسترش افقهای خود است.
بهنظر میرسد که سیکادا، به طیف وسیعتری از صنایع حمله میکند، زیرا اگر بخواهیم از نظر تاریخی به این شرکت بنگریم، این گروه بر شرکتهایی که بر بخشهای مراقبتهای بهداشتی، دفعای، هوافضا، مالی، دریایی، بیوتکنولوژی و انرژی فعالیت داشتهاند، تمرکز کرده است.
بدافزارهای مورد استفاده، بهعنوان بخشی از آخرین دور حملات آنها، هنوز نامی ندارند اما محققان سیمانتک که مسئول کشف کردن این حمله بودهاند، معتقدند که از آن ها برای جاسوسی استفاده شده است.
ظاهراََ عامل تهدید که بهنظر میآید منشأ آن چینی بوده است، از آسیبپذیری که در سرور Microsoft Exchange شناسایی شده است، برای دسترسی اولیهی خود استفاده کردهاند. این کمپین از اواسط سال 2021 آغاز شد و هنوز هم میتواند ادامه داشته باشد.
Brigid O Gorman از Symantec در گفتگویی که با Bleeping Computer داشته است، گفت که مهاجمان، بدافزار را با استفاده از نسخهای تمیز از VLC با فایلی DLL مخرب در مسیری مشابه با عملکردهای صادراتی پخشکنندهی رسانه، بدافزار را بهطور جانبی بارگذاری کردهاند.
این تکنیک بهعنوان بارگذاری جانبی DLL شناخته میشود و بهطور گسترده توسط عوامل تهدید برای بارگذاری بدافزار در فرآیندهای قانونی جهت پنهان کردن فعالیتهای مخرب مورد استفاده قرار میگیرد.
علاوهبر این بدافزار، Cicada سروری از WinVNC را برای کنترل از راه دور و درب پشتی Sodamster مستقر کرده است. در میان دادههایی که Cicada با بدافزار خود آنها را جمعآوری میکند، جزئیات سیستم و فرآیندهای آن فعال است و این توانایی را دارد تا بارهای متفاوت را دانلود و آنها را اجرا کند.
همچنین، این بدافزار این توانایی را دارد تا جزئیات مورد نظر خود را از سیستم جمعآوری کند، فرآیندهای در حال اجرا را برای خود جستجو کند و بارهای متفاوت را از سرورهای فرمان و کنترل، دانلود کند و به اجرا در بیاورد.
چندین ابزار دیگر که در این کمپین مشاهده شدهاند، عبارتاند از:
محققان در گزارشی که امروز آن را منتشر کردهاند، خاطرنشان کردهاند که مدت اقامت مهاجمان در شبکههای برخی از قربانیانی که کشف شده است، بهاندازهی 9 ماه زمان برده است.
حداقل دو عضو از گروه تهدیدکنندهی APT10 در ایالات متحده بهدلیل انجام فعالیت هک رایانهای برای کمک به ادارهی امنیتی دولتی تیانجین وزارت دولتی چین، جهت دریافت مالکیت معنوی و اطلاعات تجاری محرمانه از ارائهدهندگان خدمات مدیریتشده و سازمانها دولتی ایالات متحده و بیش از 45 شرکت فناوری دیگر، متهم شدهاند.