Компанія ESET виявила нову версію зловмисного програмного забезпечення

Компанія ESET оголосила про відкриття нової версії складного шкідливого програмного забезпечення Gelsevirine, яке належить до групи кіберзлочинців Gelsemium. Серед цілей нової загрози - державні установи, релігійні організації, виробники електроніки , а також університети Східної Азії та Близького Сходу.

До цього часу Gelsemium багато в чому вдалося уникнути виявлення. Фахівці ESET почали відстежувати діяльність групи з середини 2020 року, хоча вона активна з 2014 року.

Діяльність групи є цілеспрямованою  через малу кількість жертв, а можливості шкідливого програмного забезпечення свідчать про те, що зловмисники займаються кібершпигунством. Зокрема, група Gelsemium має безліч адаптованих компонентів. «Хоча ланцюжок зараження гельсевіріном може здатися простою на перший погляд, велика кількість конфігурацій, що застосовуються на кожному етапі, дозволяє змінювати параметри кінцевого компонента під час атаки», - пояснює дослідник ESET.

Кіберзлочинці використовують три компоненти і підключається систему, зокрема завантажувачі Gelsemine і Gelsenicine, а також основний плагін Gelsevirine, які надають широкі можливості для збору інформації.

Дослідники ESET вважають, що Gelsemium був причетний до атаки на компанію BigNox, яка відома як Операція NightScout. Ця атака ланцюга поставок була спрямована на компрометацію механізму оновлення NoxPlayer, емулятора Android для комп'ютерів Windows і Mac, який є частиною лінійки продуктів BigNox, що налічує понад 150 мільйонів користувачів у всьому світі.

Дослідження виявило деяку схожість між цією атакою і активністю групи Gelsemium. Зокрема, жертви атаки ланцюга поставок згодом були скомпрометовані Gelsemium. Крім того, було зафіксовано схожість певних версій шкідливих програм, які використовувалися в обох атаках.

Інші новини