Milano, 11 Giugno 2021 – Dalla metà del 2020, ESET, leader globale nel mercato della cybersecurity, ha analizzato molteplici iniziative malevoli, poi attribuite al gruppo di cyberspionaggio Gelsemium, ed è risalita alla prima versione del loro malware principale, Gelsevirine, del 2014. Durante l'indagine, i ricercatori di ESET hanno scoperto una nuova versione di Gelsevirine, una backdoor complessa e modulare. Le vittime delle sue campagne si trovano in Asia orientale e in Medio Oriente e includono organizzazioni governative, religiose, produttori di elettronica e università. Al momento, il gruppo è riuscito a operare senza dare troppo nell’occhio. La ricerca è stata presentata in anteprima esclusiva alla conferenza annuale ESET World questa settimana.
Gelsemium è un malware molto specifico - con un numero limitato di vittime, secondo la telemetria di ESET - ma considerando le sue potenzialità, si ritiene che il gruppo sia coinvolto in attività di cyberspionaggio. Il gruppo ha un ampio numero di componenti adattabili. "L'intera catena di Gelsemium potrebbe sembrare semplice a prima vista, ma il numero esaustivo di configurazioni, impiantate in ogni fase, può modificare in un attimo le impostazioni del payload finale, rendendolo più difficile da cogliere", spiega Thomas Dupuy, Ricercatore di ESET e co-autore dell'analisi della ricerca su Gelsemium.
Gelsemium utilizza tre componenti e un sistema di plug-in per dare agli utilizzatori una serie di possibilità di raccolta delle informazioni: il dropper Gelsemine, il loader Gelsenicine e il plugin principale Gelsevirine.
I ricercatori di ESET ritengono che Gelsemium sia responsabile dell'attacco alla catena di approvvigionamento contro BigNox, precedentemente segnalato da ESET come Operazione NightScout. Si trattava di un attacco alla supply-chain, che ha compromesso il meccanismo di aggiornamento di NoxPlayer, un emulatore Android per PC e Mac, e parte della gamma di prodotti BigNox, con oltre 150 milioni di utenti in tutto il mondo. L'indagine ha scoperto una certa analogia tra questo attacco e il gruppo Gelsemium. Le vittime originariamente compromesse dall'attacco alla supply-chain sono state successivamente violate da Gelsemine. Tra le diverse varianti esaminate, la "variante 2" illustrata in questo articolo mostra similitudini con il malware Gelsemium.
Maggiori dettagli tecnici su Gelsemium, nel blogpost "Gelsemium: quando gli autori delle minacce fanno shopping" su WeLiveSecurity. Tutte le ultime notizie sono reperibili seguendo ESET Research su Twitter.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende.
A proposito di ESET
Da oltre 30 anni, ESET® è leader nello sviluppo di software e servizi di sicurezza IT per proteggere aziende, infrastrutture strategiche e utenti finali in tutto il mondo da minacce digitali sempre più sofisticate. Con soluzioni che spaziano dalla sicurezza di endpoint e dispositivi mobili, alla crittografia e all'autenticazione a due fattori, i prodotti ESET offrono prestazioni elevate e sono facili da usare, proteggono e monitorano in modo discreto 24/7 i propri clienti, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro ed evitare interruzioni alle attività aziendali. Le minacce in continua evoluzione necessitano di un’azienda di sicurezza IT all’avanguardia, che garantisca un uso sicuro della tecnologia, garanzia che viene dai centri di ricerca e sviluppo ESET in tutto il mondo, che lavorano per rendere più sicuro il nostro futuro. Per ulteriori informazioni, visitate www.eset.com o seguite ESET sui nuovi canali italiani di LinkedIn, Facebooke Twitter.
Per ulteriori informazioni
Grandangolo Communications
Contatti Stampa, Rosy Auricchio
Tel. 02 4771.8627 email rauricchio@grandangolo.it