ESET вважає, що Gelsemium причетна до організації атаки на ланцюжок поставок
Компанія ESET вважає, що Gelsemium бере участь в організації атаки на ланцюжок поставок
Компанія ESET оприлюднила подробиці про загадкову групу APT Gelsemium, яка, як вважають, причетна до організації атаки на ланцюг поставок, яка торкнулася виробників електроніки на початку цього року.
Йдеться про лютневої кампанії, відомої як Operation NightScout, об'єктом якої став механізм оновлення популярного додатка для геймерів NoxPlayer. Програма, розроблена гонконгською фірмою BigNox, призначена для запуску Android-додатків на комп'ютерах під управлінням операційних систем Windows і macOS. Кількість користувачів емулятора по всьому світу перевищує 150 мільйонів чоловік.
Операція NightScout торкнулася лише невеликої кількості об'єктів на Тайвані, в Гонконзі та Шрі-Ланці, що свідчить про вузький фокус атак.
Група спеціалізується на кібершпигунстві і веде активну діяльність як мінімум з 2014 року. Основною метою APT є державні установи, релігійні організації, виробники електроніки та університети Східної Азії та Близького Сходу.
Аналізуючи кампанії Gelsemium, експерти виявили ранні версії «складного модульного» бекдора, відомого як Gelsevirine. Для збору інформації група використовує кілька компонентів, зокрема, крапельницю Gelsemine, навантажувач Gelsenicine і, власне, гельсевірин.
За спостереженнями дослідників, до векторів атак угрупування відносяться фішингові електронні листи зі шкідливим вкладенням у вигляді документа Microsoft Office, що використовує вразливість CVE-2012-0158 , що дозволяє віддалене виконання коду.
Крім того, Gelsemium здійснює атаки на водопої, використовує експлойти, що дозволяють ввести веб-оболонку в вразливі сервери Microsoft Exchange, і використовує динамічні доменні імена DNS (DDNS) для серверів управління, щоб ускладнити моніторинг інфраструктури.
«Повний ланцюжок Gelsemium на перший погляд здається простим, але наявність величезної кількості конфігурацій, реалізованих на кожному етапі, дозволяє модифікувати налаштування на льоту для доставки кінцевого корисного навантаження, що ускладнює її розуміння», - відзначили експерти ESET.
