《NoxPlayer》供应链攻击很可能是Gelsemium黑客所为

《NoxPlayer》供应链攻击很可能是Gelsemium黑客所为

一个名为Gelsemium的新网络间谍组织与今年早些时候披露的针对《NoxPlayer》Android模拟器的供应链攻击有关。

这些发现来自对APT团队开展的多项行动的系统分析,有证据表明,最早的攻击可以追溯到2014年,以“TooHash行动”(Operation TooHash)为代号,基于这些入侵中部署的恶意软件载荷。

网络安全公司ESET在上周发布的一份分析报告中说,“这些活动的受害者分布在东亚和中东,包括政府、宗教组织、电子制造商和大学。”

“Gelsemium的整个链条乍一看可能很简单,但在每个阶段都植入了详尽的配置,修改了最后有效载荷的动态设置,让人更难理解。”

目标国家包括中国、蒙古、朝鲜、韩国、日本、土耳其、伊朗、伊拉克、沙特阿拉伯、叙利亚和埃及。

Gelsemium起源于2010年代中期,被发现使用了多种恶意软件传输技术,从利用Microsoft Office漏洞(CVE-2012-0158)和漏洞的鱼叉式钓鱼文档到Microsoft Exchange服务器的远程代码执行漏洞可能是CVE-2020-0688,这是Windows制造商在2020年6月解决的——部署中国Chopper的网络外壳。

《NoxPlayer》供应链攻击很可能是Gelsemium黑客所为

ESET称,Gelsemium的第一阶段是一个名为“Gelsemine”的c++程序,它在目标系统上部署一个加载器“Gelsenicine”,然后检索并执行主要的恶意软件“gelselvirine”,该恶意软件能够加载命令控制(C2)服务器提供的附加插件。

背后的对手据说供应链攻击旨在BigNox NoxPlayer,在一场被称为“操作NightScout”软件的更新机制等安装后门妥协Gh0st鼠和PoisonIvy鼠监视其受害者,捕捉按键,收集有价值的信息。

ESET研究人员Thomas Dupuy和Matthieu Faou指出:“最初受到供应链攻击的受害者后来受到了Gelsemine的攻击。”

更重要的是,另一个名为Chrommme的后门在一个不知名的组织的机器上被检测到,也被Gelsemium组织破坏了,它使用了与gelselvirine相同的C2服务器,这增加了威胁者可能通过其恶意软件工具集共享攻击基础设施的可能性。

研究人员总结道:“Gelsemium的生物群系非常有趣:根据我们的遥测技术,它显示出的受害者很少,但有大量的适应性成分。”“插件系统表明开发人员具有深厚的c++知识。”

《NoxPlayer》供应链攻击很可能是Gelsemium黑客所为

极牛网精选文章《《NoxPlayer》供应链攻击很可能是Gelsemium黑客所为》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14695.html

(0)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
攻防实验室的头像攻防实验室认证作者
上一篇 2021年6月12日 上午11:16
下一篇 2021年6月16日 上午8:40

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部