シマンテック、ハッカーがVLC改変版をマルウェア攻撃に悪用したと報告

S 20220412 105455

シマンテックが、同社のSecurity Threat Intelligenceブログで、ハッカーが改変版のVLCを配布し、マルウェア攻撃に悪用していると報告しています(gHacks)。

同ブログによると、中国政府関連と主張するハッカー集団が、世界中の組織をターゲットにしたサイバースパイキャンペーンを実施していたとのこと。CicadaまたはAPT10と呼ばれるこのマルウェア攻撃キャンペーンは、昨年初めて発見され、主に教育や宗教、通信、法律、製薬分野の政府関連機関やNGOを標的としていたそうです。攻撃者は、パッチが適用されていないMicrosoft Exchange Servers経由でターゲットを狙い、カスタムローダーや様々なツールを使用し、Sodamasterと呼ばれるバックドアを設定します。

ここで、VLCの改造版が、カスタムマルウェアローダーのトリガーとして使用するために配布されているとされています。

The attackers also exploit the legitimate VLC Media Player by launching a custom loader via the VLC Exports function, and use the WinVNC tool for remote control of victim machines.

攻撃者はまた、VLC Exports機能を通じてカスタムローダーを起動することで正規のVLC Media Playerを悪用し、WinVNCツールを使って被害者のマシンをリモートコントロールしています

誤解されやすい表現となっていますが、公式サイトで配布されているVLCに脆弱性は存在せず、ハッカーが改ざんしたVLCを悪用していたというのが事実だと考えられています。ハッカーは、VLCのクリーンバージョンに、悪意のあるDLLファイルを追加して配布し、DLLサイドローディングと呼ばれる手法を用いて、カスタムマルウェアローダーを起動するために使用しているそうです。

手持ちのプログラムが改ざんされていないかどうかが心配な場合は、VirusTotalなどのオンラインサービスにインストーラをアップロードして、確認することができます。VLCのようにチェックサムが公開されているソフトウェアの場合、公式リリースのハッシュ値を手持ちのものと比較・確認する方法もあります。