Skip to content

ESET揭露夜神模擬器供應鏈攻擊的幕後駭客組織身分

今年2月,夜神模擬器(NoxPlayer)的軟體更新機制遭到入侵,該款Android模擬器用戶全球約1.5億人,攻擊者鎖定特定少數用戶下手,對他們的電腦進行監控。

背後發動攻擊的APT駭客組織,被命名為Gelsemium,根據相關的分析結果,ESET指出,這個組織最早約於2014年開始發起攻擊行動,遭到Gelsemium攻擊的受害者,遍及東亞和中東,受害單位的類型,包含了政府機關、宗教團體、電子製造業,以及大專院校等。該組織鎖定的國家,涵蓋中國、蒙古、北韓、南韓、日本、土耳其、伊朗、伊拉克、沙烏地阿拉伯、敘利亞,以及埃及。ESET也提供入侵指標(IoC)供資安人員參考。

對於Gelsemium擅長的手法而言,ESET認為是藉由微軟Office的漏洞與釣魚郵件,來散布用來攻擊的惡意軟體,並且利用Exchange伺服器的RCE漏洞,來進行水坑式攻擊。該組織約於2020年9月發動NightScout行動(Operation NightScout),滲透了夜神模擬器的更新伺服器。ESET表示,在10萬名同時是ESET與夜神模擬器的用戶中,僅有5名收到惡意更新,他們位於臺灣、香港,以及斯里蘭卡。

除了上述攻擊事件之外,ESET也點名兩支之前被發現的惡意軟體:OwlProxy和Chrommme,可能與Gelsemium有所關連。為何這些惡意軟體與該組織有關?ESET指出,前者與Gelsemium惡意軟體的元件程式碼,雖然幾乎沒有直接關連,但他們在分析之後還是發現與該組織有關的證據。

後者則是ESET從Gelsemium生態圈調查所找到的後門程式,與前者相同的是,從程式碼的層面比對該駭客組織使用的元件,也幾乎沒有什麼關連,但Chrommme與該組織使用的Gelsevirine,都使用相同的2個C2伺服器。再者,另一個與該組織有關的證據,則是ESET也在遭受Gelsemium攻擊的組織電腦中,發現了Chrommme。

原文出處一:https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/
原文出處二:https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/

#若有任何資安需求,歡迎洽詢,銷售電話:(852) 2893 8860,或上官網查詢:https://www.eset.com/hk/

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

×

Hello!

Click one of our representatives below to chat on WhatsApp or send us an email to wordpress@version-2.com.hk

×