ESET揭露夜神模擬器供應鏈攻擊的幕後駭客組織身分

今年2月，夜神模擬器（NoxPlayer）的軟體更新機制遭到入侵，該款Android模擬器用戶全球約1.5億人，攻擊者鎖定特定少數用戶下手，對他們的電腦進行監控。

背後發動攻擊的APT駭客組織，被命名為Gelsemium，根據相關的分析結果，ESET指出，這個組織最早約於2014年開始發起攻擊行動，遭到Gelsemium攻擊的受害者，遍及東亞和中東，受害單位的類型，包含了政府機關、宗教團體、電子製造業，以及大專院校等。該組織鎖定的國家，涵蓋中國、蒙古、北韓、南韓、日本、土耳其、伊朗、伊拉克、沙烏地阿拉伯、敘利亞，以及埃及。ESET也提供入侵指標（IoC）供資安人員參考。

對於Gelsemium擅長的手法而言，ESET認為是藉由微軟Office的漏洞與釣魚郵件，來散布用來攻擊的惡意軟體，並且利用Exchange伺服器的RCE漏洞，來進行水坑式攻擊。該組織約於2020年9月發動NightScout行動（Operation NightScout），滲透了夜神模擬器的更新伺服器。ESET表示，在10萬名同時是ESET與夜神模擬器的用戶中，僅有5名收到惡意更新，他們位於臺灣、香港，以及斯里蘭卡。

除了上述攻擊事件之外，ESET也點名兩支之前被發現的惡意軟體：OwlProxy和Chrommme，可能與Gelsemium有所關連。為何這些惡意軟體與該組織有關？ESET指出，前者與Gelsemium惡意軟體的元件程式碼，雖然幾乎沒有直接關連，但他們在分析之後還是發現與該組織有關的證據。

後者則是ESET從Gelsemium生態圈調查所找到的後門程式，與前者相同的是，從程式碼的層面比對該駭客組織使用的元件，也幾乎沒有什麼關連，但Chrommme與該組織使用的Gelsevirine，都使用相同的2個C2伺服器。再者，另一個與該組織有關的證據，則是ESET也在遭受Gelsemium攻擊的組織電腦中，發現了Chrommme。

原文出處一：https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/
原文出處二：https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/

#若有任何資安需求，歡迎洽詢，銷售電話：(852) 2893 8860，或上官網查詢：https://www.eset.com/hk/