Cicada: Chinesische Hacker missbrauchen u.a. den VLC Player per DLL-Side-Loading für Spionage

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Symantec sind einer seit Jahren laufenden Malware-Kampagne (Cicada) auf die Spur gekommen. Eine staatnahe chinesische Hackergruppe missbraucht legitime Anwendungen wie den VLC Player, um Malware über DLL-Side-Loading in die Systeme einzuschleusen. Ziel ist die Spionage auf den Systemen der Opfer, die in staatlichen, juristischen und religiösen Bereichen sowie in Nichtregierungsorganisationen (NRO) auf mindestens drei Kontinenten tätig sind.


Anzeige

Ich habe den ersten Hinweis bei den Kollegen von Bleeping Computer gesehen, bin dann aber bei meiner Recherche auf nachfolgenden Tweet von @BrigidOGorman aus Irland gestoßen, die auf diesen Symantec-Beitrag verlinkt.

Cicada: Chinese APT Group Espionage Activity

Zu den Opfern der Cicada-Kampagne, die von der vom chinesischen Staat unterstützten APT-Gruppe (Advanced Persistent Threat, auch bekannt als menuPass, Stone Panda, Potassium, APT10, Red Apollo) ausgehen, gehören staatliche, juristische, religiöse und nichtstaatliche Organisationen (NGOs) in mehreren Ländern auf der ganzen Welt, darunter in Europa, Asien und Nordamerika. Die Sicherheitsforscher sind erstaunt über die große Anzahl von Zielen dieser Kampagne und deren geografische Verteilung. Die anfänglichen Aktivitäten von Cicada vor einigen Jahren konzentrierten sich stark auf Unternehmen mit Verbindungen nach Japan, während in jüngster Zeit Angriffe auf Managed Service Provider (MSPs) mit einer globaleren Präsenz zu verzeichnen waren. Diese Kampagne scheint jedoch darauf hinzudeuten, dass Cicada seine Angriffsziele weiter ausdehnt.

Cicada wird mit spionageähnlichen Operationen in Verbindung gebracht wird, die bis ins Jahr 2009 zurückreichen. Die früheste Aktivitäten der aktuell laufenden Kampagne wurde Mitte 2021 entdeckt. Die jüngste Aktivität wurde im Februar 2022 beobachtet, wobei die Kampagne sehr lange läuft und noch anhalten dürfte, schreiben die Sicherheitsforscher von Symantec.


Anzeige

Diverse Tools werden benutzt

Sobald sich die Angreifer erfolgreich Zugang zu den Rechnern der Opfer verschafft haben (kann per E-Mail mit einem Anhang erfolgen), setzen sie verschiedene Tools ein. Darunter gibt es einen benutzerdefinierten Loader (siehe auch nachfolgende Ausführungen) sowie die Sodamaster-Backdoor. Der in dieser aktuellen Kampagne eingesetzte Lader wurde auch bei einem früheren Cicada-Angriff eingesetzt.

Sodamaster ist ein bekanntes Cicada-Tool, von dem angenommen wird, dass es ausschließlich von dieser Gruppe verwendet wird. Es handelt sich um eine dateilose Malware, die mehrere Funktionen ausführen kann, darunter die Umgehung der Erkennung in einer Sandbox durch die Suche nach einem Registrierungsschlüssel oder die Verzögerung der Ausführung, die Auflistung des Benutzernamens, des Hostnamens und des Betriebssystems der Zielsysteme, die Suche nach laufenden Prozessen sowie das Herunterladen und Ausführen zusätzlicher Nutzdaten. Er ist auch in der Lage, den Datenverkehr, den er an seinen Command-and-Control-Server (C&C) sendet, zu verschleiern und zu verschlüsseln. Es handelt sich um eine leistungsstarke Backdoor, die Cicada seit mindestens 2020 verwendet.

In der aktuellen Kampagne spähen die Angreifer auch Anmeldedaten aus, u. a. mithilfe eines benutzerdefinierten Mimikatz-Laders. Diese Version von Mimikatz legt die Datei mimilib.dll ab, um Anmeldeinformationen im Klartext für jeden Benutzer zu erhalten, der auf den kompromittierten Host zugreift, und sorgt dafür, dass sie auch nach einem Neustart erhalten bleiben.

Angriffsvektor DLL-Side-Loading

Die Gruppe verwendet verschiedene Angriffsmethoden – so werden wohl ungepatchte Microsoft Exchange-Server angegriffen. Die Angreifer nutzen auch den legitimen VLC Media Player aus, sobald sie Zugriff auf die Zielmaschine haben. Für den Angriff bzw. den Malware-Loader werden verschiedene Tools verwendet. Eine Angriffsmethode verwendet benutzerdefinierten Loader, den die Angreifer über die VLC-Exportfunktion starten. Dann verwenden Sie das WinVNC-Tool zur Fernsteuerung der Opferrechner.

Bleeping Computer hat mit Brigid O Gorman vom Symantec Threat Hunter Team gesprochen. Gorman erklärte, dass der Angreifer eine saubere Version von VLC mit einer bösartigen DLL-Datei im selben Pfad wie die Exportfunktionen des Media Players verwendet. Diese Technik ist als DLL-Side-Loading bekannt und wird häufig von Bedrohungsakteuren eingesetzt, um Malware in legitime Prozesse zu laden und die bösartigen Aktivitäten zu verbergen.

Was so nett mit DLL-Side-Loading umschrieben wird (siehe auch hier), habe ich hier im Blog ja häufiger unter dem Begriff DLL-Hijacking thematisiert. Ein Angreifer macht sich die Tatsache zunutze, dass Windows beim Start einer Anwendung die referenzierten DLLs zuerst im Ordner der Programmdatei – und erst dann in den Windows-Ordnern sucht. Legt ein Angreifer eine schädliche DLL mit dem betreffenden Namen im Programmordner ab, wird diese, statt der gewünschten Windows- oder Programm-DLL geladen. Bekommt ein Programm vom Benutzer administrative Rechte zugeteilt, wird die schädliche DLL mit diesen Rechten ausgeführt, ohne dass der Benutzer etwas merkt.

Dieser Angriffsvektor lässt sich vor allem bei der Verwendung von portablen Anwendungen oder beim Einsatz von .exe-Installern missbrauchen, um Malware in eine System einzuschleusen. Die Sucheinstellungen für das DLL-Loading lassen sich vom Entwickler einer Software zwar vorgeben. Aber die Standard-Linker oder -Tools von Microsoft, mit denen Software gebaut wird, berücksichtigen dies nicht. Und die Hinweise, doch bitte darauf zu achten, dass ein DLL-Hijacking nicht nutzbar ist, verlaufen i.d.R. im Sande (wenn ich das Thema hier im Blog aufgreife, werde ich schlechtesten falls beschimpft). Auch Microsofts Entwickler sind bei diesem Lapsus immer vorne mit dabei (siehe Sysinternals Disk2vhd v2.02 freigegeben) – obwohl es interne Dokumente zu best practice gibt, die genau vorgeben, dass DLL-Hijacking zu vermeiden ist.

Aktuell ist mir in obigem Kontext aber noch unklar, wie eine Malware über den VLC-Player per DLL-Side-Loading zu Administratorrechten kommen kann. Es muss ja ein Schreibzugriffsrecht auf den VLC-Player-Programmordner bestehen. Bei einer portablen Fassung wird man den Player aber nicht mit Administratorrechten starten. Nur der Fall, dass ein VLC-Player-Installer in Form einer .exe-Datei ausgerollt und die bösartige DLL im Download-Ordner abgelegt wird, ermöglicht administrative Berechtigungen.

Andere Tools, die in dieser Angriffskampagne verwendet werden, sind:

  • RAR-Archivierungstool – kann verwendet werden, um Dateien zu komprimieren, zu verschlüsseln oder zu archivieren, wahrscheinlich für die Exfiltration.
  • System-/Netzwerkerkennung – eine Möglichkeit für Angreifer, herauszufinden, welche Systeme oder Dienste mit einem infizierten Computer verbunden sind.
  • WMIExec – Microsoft-Befehlszeilentool, mit dem Befehle auf entfernten Computern ausgeführt werden können.
  • NBTScan – ein Open-Source-Tool, von dem beobachtet wurde, dass es von APT-Gruppen zur internen Erkundung eines infizierten Netzwerks eingesetzt wird.

Bei den Opfern dieser Kampagne scheint es sich in erster Linie um regierungsnahe Einrichtungen oder NRO (Nichtregierungsorganisation, NGO)zu handeln, wobei einige dieser Organisationen in den Bereichen Bildung und Religion tätig sind. Es gab auch Opfer in den Bereichen Telekommunikation, Recht und Pharmazie.

Die Opfer sind über eine Vielzahl von Regionen verteilt, darunter die USA, Kanada, Hongkong, die Türkei, Israel, Indien, Montenegro und Italien. Es gibt aber aktuell nur ein (entdecktes) Opfer in Japan, was bemerkenswert ist. Denn Cicada hatte sich in der Vergangenheit stark auf japanische Unternehmen konzentriert. Die Angreifer hielten sich bis zu neun Monate lang in den Netzwerken einiger Opfer auf.

Ähnliche Artikel:
Sysinternals Disk2vhd v2.02 freigegeben
AdwCleaner 8.0.6 schließt erneut DLL-Hijacking-Schwachstelle
Die Nirsoft-Tools und die DLL-Hijacking-Schwachstellen
Realtek schließt DLL-Hijacking-Schwachstelle in HD Audiotreiber-Paket
DLL-Hijacking in Autodesk, Trend Micro, Kaspersky


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Cicada: Chinesische Hacker missbrauchen u.a. den VLC Player per DLL-Side-Loading für Spionage

  1. Anon sagt:

    Der VLC Player wird doch im Programmverzeichnis installiert. Um dort als Benutzer irgendwelche Dateien ablegen zu können benötigt man Adminrechte. Zudem wird der VLC normalerweise nicht als Admin gestartet.

    Wenn ich diesen Artikel also richtig verstehe brauchen diese Hacker im Vorfeld Adminrechte um sich damit Adminrechte zu verschaffen???

    • Günter Born sagt:

      Das sind dann die beliebten Kommentare: Aber man braucht doch Admin-Rechte …

      Wenn der Nutzer den VLC Player über eine .exe mit DLL-Hijacking-Schwachstelle im Installer installiert, vergibt der dem Loader genau die geforderten Rechte. Sollte es Probleme mit Zugriffsberechtigungen auf die Ordner des installierten Programms geben (auch da gab es die Zugriffsbereichtigung "Jeder" in der Vergangenheit), können auch dort DLLs vom Angreifer abgelegt werden.

      • Stephan sagt:

        Das sind nichtnur beliebte Kommentare, sondern Tatsachen.
        Du schreibst selber…

        "Sobald sich die Angreifer erfolgreich Zugang zu den Rechnern der Opfer verschafft haben"

        Also wieder eine Sicherheitslücke, die ausgenutzt wird, wenn der Hacker zugriff auf das System hat.

        "Wenn der Nutzer den VLC Player über eine .exe mit DLL-Hijacking-Schwachstelle im Installer installiert…"

        Wenn der Hacker zugriff auf ein System hat, und darauf Programme (EXE) Installieren kann,
        ist das System sowieso schlecht Abgesichert und er kann sich auch einfach direkt den Trojaner Installieren.

        Welches Sinn soll ein DLL Hijacking über einen EXE Installer machen, wenn man erst eine EXE Ausführen muss für den Hijack Angriff ?

        Fenstergriffe Innen am Fenster sind Sehr Gefährlich.
        Stell dir vor, ein Einbrecher kommt durch eine geöffnete Haustür, um dann das Fenster zu Öffnen.
        Natürlich verlässt der Einbrecher das Haus durch die Haustür, um dann durch das Fenster erneut einzusteigen.

        • Günter Born sagt:

          Entweder hast Du meinen Kommentar falsch interpretiert oder das Problem nicht verstanden. Es reicht, dass der Benutzer per social engineering dazu gebracht wird, einen Anhang oder Download auszuführen (weil dann angeblich die neue VLC Player-Version vorliegt). Bei einem exe-Installer kann es DLL-Hijacking-Schwachstellen geben. Dann muss der Angreifer lediglich eine passende DLL in den Download-Ordner platzieren und warten. Führt das Opfer eine Programminstallation aus, wird er dem exe-Installer administrative Rechte gewähren – er führt ja eine legitime VLC Player-Installer-Kopie aus. Aber im Huckepack wird dann die schädliche DLL mit Admin-Rechten geladen und ausgeführt.

          Das "beliebte Kommentare" bezog sich auf meine Einschätzung "Entwickler haben dafür zu sorgen, dass keine DLL-Hijacking-Schwachstellen in ihren Produkten ausnutzbar sind" und den dann allgemein fälligen Nutzerkommentaren "ist ja alles kein Problem, wenn der Angreifer sich bereits Zugriff auf das System verschafft und administrative Rechte hat, kann er eh alles machen". Da fehlt mir schlicht der Draht zu dieser Argumentation, die sofort das "Problem als nicht so gravierend relativiert" und nicht erkennen will, dass man sich ein potentielles Problem auf das System holt, welches von den Entwicklern durch Angabe der Suchpfade, in denen abhängige DLLs geladen werden dürfen, beseitigt werden könnte. Aber egal – warum erkläre ich das eigentlich noch, es sind schließlich eure Systeme, die gefährdet werden.

          • Stephan sagt:

            Du hast meine Anspielung mit der Tür und dem Fenster nicht verstanden.

            "Führt das Opfer eine Programminstallation aus, wird er dem exe-Installer administrative Rechte gewähren"

            Auf einem Administrierten Firmenrechner z.b. kann / sollte der Normale Benutzer keine Installationsprogramme Ausführen können.

            Und wenn ein Hacker VLC Installieren will um den Hijacking Angriff zu starten,
            kann er sowieso EXE Installer ausführen.
            Dann kann er sich den weg sparen über den Sideload und direkt einen Trojaner Installieren.

            Ein Privatnutzer, der VLC Installiert sollte sowieso von der VLC Internetseite VLC Installieren,
            denn eine Version aus einer Fremden Quelle mit einer Hijack DLL könnte genausogut Virenverseucht sein.
            Dann braucht es keinen VLC Hijack.

            Es gibt dazu 2 Optionen.
            Entweder der Benutzer kann Installationsdateien Starten.
            Dann benötigt er nicht den Umweg über einen Hijack Angriff,
            oder das Ausführen Installer ist durch einen Admin gesperrt,
            dann hat sich das alles sowieso erledigt.

            Und wenn man nun einfach eine DLL im Programmverzeichnis austauschen will.
            Das ist auf einem Administrierten PC ebenfalls verweigert und somit Hinfällig.
            Wenn nun aber ein Hacker an einen Privat PC das machen will,
            dann hat der Benutzer andere Probleme, das er Hacker an seinen PC lässt.

          • Ralph sagt:

            Stephan, unter Deinem Beitrag ist kein Antworten-Link, deswegen so.

            Stephan, Du musst die Texte wirklich mal sorgfältig lesen. Beim DLL-Sideloading geht es nicht darum, dass Du Dir verseuchte Software herunterlädst und sie dann installierst. Das sind zwei völlig unterschiedliche Dinge. Du kannst Dir auch ganz legitime Software herunterladen. Wenn jemand es geschafft hat, seine Malware-DLL im Downloadverzeichnis zu platzieren, dann wird sie unter Umständen vom anständigen Installer genutzt.

            Dafür muss der Anwender weder Malware bewusst herunterladen noch muss man dafür ein ausgemachter Idiot sein, wie es gerne von einer Gruppe übermäßig selbstbewusster Nutzer dargestellt wird.
            Und bei 20 Anwendern kann man noch jede Installation verbieten und etwaigen Bedarf händisch prüfen. In einem heterogenen Umfeld mit ein paar hundert oder gar ein paar tausend Anwendern wirst Du eine nicht gerade kleine Gruppe Anwender haben, die Software installieren dürfen müssen, sonst können sie nicht oder nicht richtig ihre Arbeit erledigen.

          • Stephan sagt:

            @Ralph

            Ich lese die Texte schon sorgfältig genug.

            Ok, um es einfach mal anderst zu Formulieren.

            Du sagst, jemand (der Hacker) tauscht eine DLL aus.
            Nun, wie macht der Hacker dies ohne entsprechende Rechte ?

            Aber, sagen wir er hat sich irgendwie Admin rechte verschafft,
            dann macht es für den Hacker Absolut keinen sinn irgendwelche DLL's zu tauschen und auf eine Eventuell Funktionierende VLC Hijack Funktion zu hoffen.

            Hacker hat Admin Rechte also Installiert er einfacher entsprechende Tools selbst und macht nicht diesen umweg.

            Ok, er hat nun doch den Umständlichen weg gewählt und eine DLL ausgetauscht und hofft, das irgendwann jemand VLC neu Installiert.
            Dann kommt der IT'ler mit Admin rechten, läd sich VLC irgendwo runter und Startet den Installer…
            was passiert….der Installer Extrahiert seine Dateien und verwendet diese.

            Das vorgehen mit dem Hijack mag ja vielleicht in 1 von 10000 fällen mal Funktionieren,
            doch würde kein Angreifer so einen umständlichen weg wählen und hoffen das dieser fall irgendwann eintritt.

            Und auch hier haben wir wieder den Vergleich Haustür offen (Hacker hat Admin rechte)
            Fenster öffnen (dll austauschen)
            Haus verlassen und durchs Fenster einsteigen. (Benutzer wechseln (admin rechte verlieren) und VLC Installieren)

            Was ein Quatsch, so würde kein Hacker vorgehen.

      • Stefan Kanthak sagt:

        Und solche "beliebten" Kommentare werden typischerweise von ahnungslosen Kleinkindern verbrochen, die nicht 'mal ihren Namen schreiben können!
        Zur Klarstellung: DLL-SideLoading bezeichnet üblicherweise das Laden von DLLs aus dem (benutzerkontrollierten) CWD ("current working directory") oder dem (benutzerkontrollierten) PATH, d.h. wenn diese weder im Installationsverzeichnis der Anwendung noch im "system directory" %SystemRoot%\System32 noch im Windows-Verzeichnis %SystemRoot% gefunden wird, wie beispielsweise die von Shitmantec genannte mimilib.dll

        • Stephan sagt:

          Na da du ja ein Super duper Experte sein willst,
          dann kannst du ja gerne mal Erklären, wie der Hacker ohne Admin rechte diesen Hijack einleiten will.

          Und dann kannst du auch gleich erklären, wozu so ein Hijack gut sein soll, wenn sowieso schon Admin rechte vorhanden sind.

          Also du möchtgern Experte, leg mal los.

      • Stefan Kanthak sagt:

        Bei Schrott wie VLC, dessen merkbefreite Entwickler das ausführbare (IGITT!) und Adminstrator-Privilegien anfordernde Installationsprogramm mit dem als NSIS berüchtigten Schrott verbrechen, kommt in Standard-Installationen von Windows noch dazu, dass (nicht nur) dieser Schrott DLLs UNGESCHÜTZT vor Schreibzugriffen durch den unprivilegierten Benutzer in das (benutzerkontrollierte) TEMP-Verzeichnis schreibt und diese lädt.
        Vergleiche dazu https://skanthak.homepage.t-online.de/tempest.html
        Wer einen Schnelltest durchführen möchte startet eine Eingabeaufforderung im Verzeichnis wo mit NSIS oder InnoSetup oder WiX oder … verbrochene Installationsprogramme gespeichert sind, führt dort folgende Kommandos aus: und bewundert die (nicht immer angezeigten) Fehlermeldungen:
        SET TMP=NUL:
        SET TEMP=NUL:
        ".\<installationsprogramm>.exe"
        Die triviale Konstruktion der "exploits" überlasse ich den Lesern als Hausaufgabe…

  2. Heiner Wende sagt:

    Ich kann mich nicht erinnern, den folgenden Newsletter bestellt zu haben. Im Newsletter mit Email an mich findet sich folgender Text:


    Hallo!VLC Plus Player

    Auf unserer Internetseite können Sie ab sofort die neue Version 3.0.17.3 des VLC-Players herunterladen.

    Direktlink: ⇒ https://www.vlc.de

    Bitte beachten Sie auch das kostenlose Open Office.

    Viele Grüße
    Ihr Team von VLC.de

    FacebookTwitterGoogle BookmarksLinkedInLive FavoritesXing
    Email an mich:"Von: newsletter@vcl.de: Auf unser Internetseite können Sie sofort die neue Version 3.0.17.3 des VCL-Players herunterladen.
    Direktlink: = Bitte beachten Sie auch das kostenlose Open Office.
    Viele Grüße
    Ihr Team von VCL.de


    Anmerkung von mir: 1.) Ich kann mich nicht erinnern einen Newsletter bestellt zu haben. 2.) Das Impressum war richtig. 3.) Der Dateianhang zum herunterladen unnütz und gefährlich – deswegen bin ich auch auf die Suche gegangen und habe Ihren Artikel gefunden, dachte ich es mir doch, dass da etwas faul ist.

    Anhang: smime.p7s

    Mit freundlichen Grüßen

    Heiner Wende

  3. Paul sagt:

    uBlock Origin has prevented the following page from loading:
    http: www vlc de
    Because of the following filter:
    ||vlc.de^$document
    Found in: uBlock filters – Badware risks

    Em… ja…"uBlock Origin" addon f. Firefox. Gutes Tool, wenn es
    auch nicht brain V1.0 ersetzen kann.

    @Günter:
    Kannst Du diese bösen URLs unbrauchbar machen?
    Die Nennung hier könnte evtl. den Google-Score verbesseren, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.