Китайские хакеры атаковали пользователей через медиаплеер VLC. По мнению экспертов компании Symantec, серия атак продолжается длительное время, ее жертвами стали государственные и частные предприятия по всему миру.
Кампанию приписывают группировке Cicada (также известна как menuPass, Stone Panda, Potassium, APT10, Red Apollo), которая активна более 15 лет. Нынешняя волна атак началась в 2021 году и продолжалась по крайней мере до февраля 2022. Исследователи считают, что атаки могут совершаться и сегодня.
Эксперты отмечают, что злоумышленники получали доступ к сетям через сервер Microsoft Exchange, что означает, что они использовали какую-то известную уязвимость. После взлома они разворачивали вредоносное ПО с помощью медиаплеера VLC, используя при этом чистую версию программы с вредоносным файлом DLL — метод, известный как DLL side-loading (боковая загрузка DLL), который широко используется злоумышленниками.
Кроме того, хакеры запускали на системах жертв бэкдор Sodamaster — инструмент, который, как считается, использовался исключительно группой Cicada как минимум с 2020 года. Sodamaster способен собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с управляющего сервера.
По оценке экспертов, жертвами кампании стали системы из США, Канады, Италии, Турции, Гонконга, Израиля, Черногории и Индии. Время пребывания злоумышленников в некоторых сетях достигало девяти месяцев.
