「VLC Media Player」の評価ではありません。 Symantec（Norton）社…

シマンテック Security Threat Intelligence ブログでは、
Cicada: Chinese APT Group Widens Targeting in Recent Espionage Activity | Symantec Blogs
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-china-ngo-government-attacks
攻撃者は、
Microsoft Exchange Servers 経由で「最新のセキュリティパッチ」が適用されていないシステムを狙い、エンドユーザーのマシンにアクセスしています。
ハッカーは、カスタムローダーに加えて、様々なツールを使用し、Sodamaster と呼ばれる「バックドア」コードを埋め込む。
ハッカーは、カスタムマルウェアローダーの「トリガーに使用する」ために、マルチメディアプレーヤーをターゲットのひとつ（おそらく、未確認の「他のターゲットも存在する」らしいが、現時点では特定できていない）に定めていた。

攻撃者は、
Exports 機能を通じてカスタムローダーを起動することで、
正規の Media Player を介在して、
WinVNC ツールを使用することでエンドユーザーのマシンをリモートコントロールする。

つまり、
この攻撃では「侵害されたシステム」とトリガーに使用できる他のツール（例えば、マルチメディアプレーヤー）の「偽の更新版」が起動させる要件になっています。

アプリを公式サイト（または信頼できるサイト）からダウンロードする限り、偽の（悪意のある「DLL」ファイルが仕組まれた）更新版は存在しないはずなので、マルウェアから安全であるはずです。
Chinese hackers abuse VLC Media Player to launch malware loader
https://www.bleepingcomputer.com/news/security/chinese-hackers-abuse-vlc-media-player-to-launch-malware-loader/
問題は、非公式のダウンロードサイトです。
ハッカーは「マルバタイジング」のような様々な手口を駆使し、（人気のあるプログラムのアイコンを使って）オリジナル（正規品）と錯覚させマルウェアをダウンロードさせて、システムに感染させ、二次感染源（プロパガンダのボットマシン）化を狙っている可能性がある。

Tarraskは、
過去に通信、インターネットサービスプロバイダ、データサービス分野を標的としたハッキンググループ「Hafnium」が使用した。
同グループは、ゼロデイ脆弱性を利用してコンピュータシステムに侵入する攻撃を行います。
システムへの攻撃が成功すると、Windows のバグを利用してマルウェアの痕跡を隠し、発見を困難にします。
Tarraskは、なんらかの悪意を実行するために、検知されることなく、隠されたスケジュールタスクを作成します。

Windows タスクスケジューラは、
システムおよびアプリケーションによって使用され、更新のチェックやメンテナンス作業の実行などのタスクを起動します。
アプリケーションは、タスクスケジューラにタスクを追加することができますが、そのために十分な権限を持って実行されることが条件となります。Microsoft によると、マルウェアは「Windows 環境内で永続性を維持する」ためにタスクスケジューラを悪用することが多い。

タスクは、Windows 上でタスクスケジューラツールを起動することで解析できる。
マルウェア「Tarrask」は、
そのタスクをツールから隠すためのバグと、存在するスケジュールされたタスクのリストを返すコマンドラインオプション「schtasks /query」を使用します。
検出を避けるため（Tarrask は）Windows レジストリ内のタスクのセキュリティ記述子値を削除する。
この結果、タスクはタスクスケジューラーからもコマンドラインツールからも姿を消すことになる。
言い換えれば、いずれかのツールを使ってすべてのタスクを注意深く検査しても、悪意のあるタスクを発見できません。

Windows システムでの「Tarrask」の見つけ方：
このマルウェアは、システムレジストリにその痕跡が記録されているため、タスク情報を完全に削除しているわけではありません。
マイクロソフトは、ハッキンググループがマルウェアを永続化するためにレジストリにデータを残したか、「SD」コンポーネントを削除してもタスクが「実行され続ける」ことに気づかなかったのではないかと推測しています。

それを手がかりに、
システムレジストリ内のスケジュールされたタスク情報を分析し、システムがマルウェア「Tarrask」に感染しているかどうかを確認することができます。
その手順：
1. キーボードショートカットの Windows-R を使用して、実行ボックスを表示します。
2. regedit.exe と入力し、Enterキーを押下。
3. HKEY_LOCAL_MACHINE のパスに移動し、Windows NT の CurrentVersion > Schedule > TaskCache > Tree を選択する。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
システムに存在するスケジュールされたタスクのリストが表示されるので、 各タスク（ファイル）を調べて、SD 値がないものがリストされているかどうか判断する。

SD 値のないタスクが見つかった場合、
そのタスクはタスクスケジューラーやコマンドラインユーティリティに表示されない隠しタスクです。
このタスクは SYSTEM ユーザーのコンテキスト内で実行されているため、通常、削除することはできません。
このタスクを削除しようとすると、access denied というエラーメッセージが表示され、失敗します。

Microsoft の「Windows Defender」の最新バージョンでは、このマルウェアを検出します。
Windows Defenderに、隠されたタスクを検出する新しい観測イベントが追加されました。
これらは、アプリケーションによって「Behavior:Win32/ScheduledTaskHide.A」としてフラグ付けされます。

マイクロソフトは、
この攻撃経路を使用するマルウェアを検出するために、
システム管理者が以下の推奨事項とセキュリティガイドラインを採用することを推奨しています。
Windows環境のレジストリハイブを列挙し、
HKEY_LOCAL_MACHINEのThreeレジストリハイブで、
SD (security descriptor) Value がないスケジュールされたタスクを識別します。
必要に応じて、これらのタスクの分析を実行します。

Microsoft-Windows-TaskScheduler/Operational 内の「TaskOperational」のログを有効にし、
スケジュールされたタスクのアクションを識別するために監査ポリシーを変更します。
環境に適した推奨の Microsoft 監査ポリシー設定を適用する。

以下のタスクスケジューラーログを有効化し、一元管理します。
タスクが「非表示」であっても、これらのログは、タスクに関連する重要なイベントを追跡し、隠された永続化メカニズムを発見するきっかけとなる可能性があります。
Security.evtxログ内のイベントID 4698
Microsoft-Windows-TaskScheduler/Operational.evtx ログ

このマルウェアは、隠れたスケジュールタスクを使用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することで、インターネットに公開された重要な資産へのアクセスを維持していました。これらの重要な Tier 0 および Tier 1 資産からの接続に対する監視と警告を確実に行うことで、アウトバウンド通信の通常とは異なる挙動を監視し、警戒を怠らないようにしてください。

他のマルウェアも同様に、このバグを悪用して検知を回避する可能性があります。