Хакеры группы Gelsemium атакуют госучреждения, производителей электроники и университеты

10 июнь, 2021 - 09:25

Компания Eset обнаружила новую версию сложного вредоносного ПО Gelsevirine, которое принадлежит группе киберпреступников Gelsemium. Среди целей этой угрозы – государственные учреждения, религиозные организации, производители электроники и университеты Восточной Азии и Ближнего Востока.

До последнего времени Gelsemium в основном удавалось избегать обнаружения. Специалисты Eset начали отслеживать деятельность группы с середины 2020 г., хотя судя по всему она активна еще с 2014 г.

Деятельность группы является целенаправленной из-за небольшого количества жертв, а возможности вредоносного ПО указывают на то, что злоумышленники занимаются кибершпионажем. В частности, группа Gelsemium имеет много адаптированных компонентов.

Киберпреступники используют три компонента и систему плагинов, в частности загрузчики Gelsemine и Gelsenicine, а также основной плагин Gelsevirine, которые предоставляют широкие возможности для сбора информации.

Исследователи Eset считают, что Gelsemium причастна к атаке на компанию BigNox, которая известна как операция NightScout. Эта атака на цепь поставки была направлена на компрометацию механизма обновления NoxPlayer, эмулятора Android для компьютеров Windows и Mac, который является частью продуктовой линейки BigNox с более чем 150 млн. пользователей во всем мире.

В ходе исследования было выявлены некоторые сходства между этой атакой и активностью группы Gelsemium. В частности, жертвы атаки на цепь поставки впоследствии были скомпрометированы Gelsemium. Кроме этого, зафиксировано сходство определенных версий вредоносных программ, которые применялись в обеих атаках.

Хакеры группы Gelsemium атакуют госучреждения, производителей электроники и университеты