Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової версії складного шкідливого програмного забезпечення Gelsevirine, яке належить групі кіберзлочинців Gelsemium. Серед цілей нової загрози – державні установи, релігійні організації, виробники електроніки та університети Східної Азії та Близького Сходу.
До цього часу Gelsemium здебільшого вдавалося уникати виявлення. Спеціалісти ESET почали відстежувати діяльність групи з середини 2020 року, хоча вона активна ще з 2014 року.
Діяльність групи є цілеспрямованою через невелику кількістю жертв, а можливості шкідливого програмного забезпечення вказують на те, що зловмисники займаються кібершпигунством. Зокрема група Gelsemium має багато адаптованих компонентів. «Хоча ланцюг інфікування Gelsevirine може здатися на перший погляд простим, велика кількість конфігурацій, застосованих на кожному етапі, дозволяє змінювати під час атаки параметри остаточного компонента», — пояснює дослідник ESET.
Рис. 1. Цілі групи Gelsemium.
Кіберзлочинці використовують три компоненти та систему плагінів, зокрема завантажувачі Gelsemine та Gelsenicine, а також основний плагін Gelsevirine, які забезпечують широкі можливості для збору інформації.
Дослідники ESET вважають, що Gelsemium причетна до атаки на компанію BigNox, яка відома як операція NightScout. Ця атака на ланцюг постачання була спрямована на компрометацію механізму оновлення NoxPlayer, емулятора Android для пристроїв Windows та Mac, який є частиною продуктової лінійки BigNox із понад 150 мільйонами користувачів у всьому світі.
Під час дослідження було виявлено деякі подібності між цією атакою та активністю групи Gelsemium. Зокрема жертви атаки на ланцюг постачання згодом були скомпрометовані Gelsemium. Крім цього, зафіксовано схожості певних версій шкідливого програмного забезпечення, які застосовувалися в обох атаках.
Детальне дослідження активності Gelsemium можна знайти за посиланням.