Cercetătorii ESET dezvăluie o campanie de spionaj cibernetic, derulată în Asia de Est şi Orientul Mijlociu
0Începând cu jumătatea anului 2020, departamentul de cercetare ESET a analizat mai multe campanii malware, atribuite ulterior grupului de spionaj cibernetic Gelsemium şi urmărit istoric evoluţia lor, începând de la cea mai veche versiune a principalului lor cod malware, Gelsevirine (lansat încă din 2014).
În timpul investigaţiei, cercetătorii ESET au găsit o nouă versiune a Gelsevirine, un backdoor complex şi foarte modular. Victimele campaniilor de atac, asociate acestuia, se află în Asia de Est, precum şi în Orientul Mijlociu şi includ guverne, organizaţii religioase, producători de electronice şi universităţi. Până în prezent, grupul a reuşit să se menţină în cea mai mare parte sub radarul de supraveghere. Această cercetare a fost discutată exclusiv la conferinţa anuală ESET World din această săptămână.
Gelsemium este foarte atent direcţionat - cu doar câteva victime precise, conform telemetriei ESET - şi având în vedere capacităţile sale, acest lucru indică implicarea grupului în spionaj cibernetic. Grupul are un număr mare de componente adaptabile. „Întregul lanţ al Gelsemium ar putea părea simplu la prima vedere, dar numărul exhaustiv de configuraţii, implantate în fiecare etapă, poate modifica configuraţia de atac din mers (pentru payload-ul final), îngreunând înţelegerea”, explică cercetătorul ESET Thomas Dupuy, co-autor al analizei de cercetare Gelsemium.
Gelsemium foloseşte trei componente şi un sistem plug-in pentru a oferi operatorilor săi o gamă largă de posibilităţi de colectare a informaţiilor: dropper-ul Gelsemine, loader-ul Gelsenicine şi plugin-ul principal Gelsevirine.
Cercetătorii ESET cred că Gelsemium se află în spatele atacului supply-chain derulat împotriva BigNox, care a fost raportat anterior ca Operaţiunea NightScout. Acesta a fost un atac pe “lanţul de aprovizionare” al victimei, raportat de ESET, care a compromis mecanismul de actualizare al NoxPlayer, un emulator Android pentru PC-uri şi Mac şi o parte a gamei de produse BigNox, cu peste 150 de milioane de utilizatori în întreaga lume. Ancheta a descoperit unele suprapuneri între acest atac supply-chain şi grupul Gelsemium. Victimele compromise iniţial de acel atac supply-chain au fost ulterior compromise de Gelsemine. Dintre diferitele variante examinate, „varianta 2” din acest articol prezintă asemănări cu malware-ul Gelsemium.
Pentru mai multe detalii tehnice despre Gelsemium, puteţi parcurge postarea de blog “Gelsemium: when threat actors go gardening” de pe WeLiveSecurity.