Grupo criminoso usa VLC media player para executar operações de espionagem

O VLC foi usado como vetor de entrada em uma operação de espionagem, realizada por um grupo cibercriminoso com ligações conhecidas ao governo da China. O alvo eram entidades governamentais, organizações religiosas e ONGs de pelo menos oito países, incluindo EUA, Hong Kong, Israel, Itália e Índia, cujas redes foram comprometidas a partir de brechas no Microsoft Exchange e, depois, exploradas mais profundamente por meio de uma versão manipulada do player de vídeo.

• Brasil é alvo preferencial de criminosos, mesmo “fora” da guerra cibernética
• Pelo menos 600 empresas de infraestrutura dos EUA sofreram ciberataques em 2021

A campanha que começou em meados de 2021 e ainda pode estar ativa envolvia um método chamado, em português, de carregamento paralelo de DLL. Após obter acesso aos sistemas por meio de uma falha não atualizada no Exchange, o VLC era carregado ao computador em uma versão efetivamente funcional e com todos os seus recursos, mas com um arquivo a mais, em seus sistemas de exportação, que permitia o download e instalação de mais pragas.

Foi justamente esse elemento que permitiu ao time de inteligência de ameaças da Symantec atribuir a campanha ao Cicada, grupo ligado ao governo chinês que começou a agir no campo da espionagem cibernética em 2006. Eles também são conhecidos como APT10, Stone Panda, Potassium e menuPass, normalmente atuando em golpes voltados a infraestruturas governamentais ou de empresas ligadas a serviços públicos.

Além da DLL comprometida, o ataque usando o VLC também pode levar à instalação de servidores de acesso remoto ou backdoors, abrindo ainda mais a superfície de exploração e controle dos computadores atingidos. A escolha, aqui, é pelo Sodamaster, um malware sem arquivo que roda a partir da memória do sistema e, por isso, pode escapar do crivo de soluções usuais de segurança e até monitoramentos manuais, já que não deixa rastros no registro do Windows.

As ações concretas envolvem também o envio de informações dos dispositivos de volta a servidores sob o controle dos criminosos, enquanto as pragas aguardam comandos para executarem ataques, movimentação lateral ou novos comprometimentos. Em alguns casos citados pela Symantec, o Cicada foi capaz de permanecer coletando informações por nove meses, sem ser detectado.

APT10: grupo chinês tem novos alvos internacionais

Os especialistas também apontam uma ampliação no interesse dos bandidos, já que seus ataques, normalmente, se concentravam no Japão. Nessa campanha, porém, apenas uma organização do país foi atingida, enquanto o foco se expandiu por três continentes, com destaque para setores legais, farmacêuticos e telecomunicações, entre a iniciativa privada. Os golpes continuam em andamento, com a recomendação sendo a atualização de sistemas, para evitar a entrada, e a análise de redes em busca de sinais de comprometimento.

A Symantec também aponta para um grupo cibercriminoso que continua agindo amplamente, mesmo sob o escrutínio de governos internacionais. Desde 2018, por exemplo, os Estados Unidos procuram pelo menos dois indivíduos envolvidos com o APT10, acusados de agirem contra empresas para roubarem segredos comerciais do país. Em 2018, as acusações chegaram a balançar as relações entre Washington e Pequim, que já se encontravam turbulentas por conta de disputas econômicas.

Fonte: Bleeping Computer