ESET揭露夜神模擬器供應鏈攻擊的幕後駭客組織身分

下一個故事

今年2月,夜神模擬器(NoxPlayer)的軟體更新機制遭到入侵,該款Android模擬器用戶全球約1.5億人,攻擊者鎖定特定少數用戶下手,對他們的電腦進行監控。

背後發動攻擊的APT駭客組織,被命名為Gelsemium,根據相關的分析結果,ESET指出,這個組織最早約於2014年開始發起攻擊行動,遭到Gelsemium攻擊的受害者,遍及東亞和中東,受害單位的類型,包含了政府機關、宗教團體、電子製造業,以及大專院校等。該組織鎖定的國家,涵蓋中國、蒙古、北韓、南韓、日本、土耳其、伊朗、伊拉克、沙烏地阿拉伯、敘利亞,以及埃及。ESET也提供入侵指標(IoC)供資安人員參考。

對於Gelsemium擅長的手法而言,ESET認為是藉由微軟Office的漏洞與釣魚郵件,來散布用來攻擊的惡意軟體,並且利用Exchange伺服器的RCE漏洞,來進行水坑式攻擊。該組織約於2020年9月發動NightScout行動(Operation NightScout),滲透了夜神模擬器的更新伺服器。ESET表示,在10萬名同時是ESET與夜神模擬器的用戶中,僅有5名收到惡意更新,他們位於臺灣、香港,以及斯里蘭卡。

除了上述攻擊事件之外,ESET也點名兩支之前被發現的惡意軟體:OwlProxy和Chrommme,可能與Gelsemium有所關連。為何這些惡意軟體與該組織有關?ESET指出,前者與Gelsemium惡意軟體的元件程式碼,雖然幾乎沒有直接關連,但他們在分析之後還是發現與該組織有關的證據。

後者則是ESET從Gelsemium生態圈調查所找到的後門程式,與前者相同的是,從程式碼的層面比對該駭客組織使用的元件,也幾乎沒有什麼關連,但Chrommme與該組織使用的Gelsevirine,都使用相同的2個C2伺服器。再者,另一個與該組織有關的證據,則是ESET也在遭受Gelsemium攻擊的組織電腦中,發現了Chrommme。

原文出處一:https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/
原文出處二:https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw