I ricercatori di Symantec hanno scoperto una campagna di spionaggio effettuata da Cicada, cybercriminali associati al governo cinese. Dopo aver ottenuto l’accesso alle reti interne, il gruppo distribuisce vari malware per raccogliere informazioni dai computer delle vittime. Uno di essi viene installato sfruttando una funzionalità del noto media player VLC.
VLC usato per distribuire malware
Le attività di Cicada (noto anche come APT10) sono iniziate nel 2009 con attacchi verso aziende giapponesi. Negli anni successivi, il gruppo ha esteso l’operatività in altri paesi, tra cui Italia, Stati Uniti, Canada, Turchia, Israele, India, Montenegro e Hong Kong. I bersagli sono principalmente organizzazioni governative e non, aziende farmaceutiche e operatori telefonici. In tutti i casi, l’obiettivo è accedere alle reti interne per rubare informazioni confidenziali.
La campagna di spionaggio più recente è iniziata nel mese di febbraio. L’intrusione viene effettuata sfruttando note vulnerabilità di Microsoft Exchange, quindi server non aggiornati. A questo punto, i cybercriminali possono distribuire vari tool. Uno di essi è un loader che viene eseguito attraverso la funzione di esportazione di VLC. Successivamente viene installato WinVNC per il controllo remoto.
Un altro tool è la backdoor Sodamaster che consente di raccogliere informazioni sul sistema, scaricare altri malware e inviare i dati in forma cifrata ad un server C&C (command&control). Negli ultimi attacchi è stato utilizzato anche Mimikatz per rubare le credenziali. Secondo il Dipartimento di Giustizia degli Stati Uniti, alcuni membri di Cicada sono dipendenti del governo cinese.