Chinesische Hacker verbreiten über VLC-Player Schadsoftware
Die chinesische Hackergruppe Cicada, die der chinesischen Regierung nahestehen soll, soll Cyberattacken über den VLC-Player ausgeführt haben. Laut Sicherheitsforscher*innen von Symantec seien die Schadprogramme auf bestimmten Zielcomputern installiert worden.
Mit der Schadsoftware sei es möglich, jegliche Informationen über die Opfer zu generieren. Sie könne unter anderem laufende Prozesse durchkämmen oder Dateien auf Befehl herunterladen. Laut Bleeping Computer zählen zu den Opfern der Cyberangriffe Regierungs- und Justizbehörden sowie religiöse Einrichtungen. Auch nicht-staatliche Organisationen seien angegriffen worden.
Sicherheitslücke in Microsoft Exchange Server ausgenutzt
Die Attacken über den VLC-Player scheinen laut den Forscher*innen groß angelegt zu sein und erfolgten bislang über drei Kontinente hinweg. Zu den Zielländern zählen etwa die USA, Hong Kong, Indien, Italien oder Kanada. Der ursprüngliche Zweck der Kampagne, die bereits seit Mitte 2021 läuft, sei Spionage gewesen.
Offenbar nutzten die Hacker*innen eine nicht geschlossene Sicherheitslücke in einem Microsoft Exchange Server aus, um die Malware zu verbreiten. Die VLC-Datei sei „sauber“ gewesen, wurde aber mit einer schadhaften DLL-Datei gepaart, wodurch die getarnte Schadsoftware installiert werden konnte.
Bedrohung könnte anhalten
Um die infizierten Computer fernzusteuern, nutzten die Angreifer*innen zudem einen WinVCN-Server. Zusätzlich machten die Hacker*innen von einem Exploit namens Sodamaster Gebrauch, welcher heimlich im Systemspeicher läuft und keinerlei Datei benötigt. Es kann sich gut tarnen und die Ausführung beim Start verzögern. Denkbar ist, dass die Bedrohung bis heute anhält.
Cicada besteht seit mindestens 16 Jahren und ist auch unter den Namen menuPass, Stone Panda, APT10, Potassium und Red Apollo bekannt.