Wire

ESET Research ontdekt de nieuwste versie van Gelsemium: cyberspionage tegen overheden en andere doelwitten in Azië

ESET
Sinds midden 2020 heeft ESET Research verschillende campagnes geanalyseerd die later werden toegeschreven aan de cyberspionagegroep Gelsemium en de eerste versie gevonden - uit 2014 - van hun belangrijkste malware, Gelsevirine. Tijdens hun onderzoek ontdekte het ESET-team een nieuwe versie van Gelsevirine, een backdoor die zowel complex als modulair is. De slachtoffers van deze campagnes bevinden zich zowel in Oost-Azië als in het Midden-Oosten en zijn onder andere regeringen, religieuze organisaties, elektronicafabrikanten en universiteiten. Tot nu toe is de groep erin geslaagd om grotendeels onder de radar te blijven. Dit onderzoek werd deze week exclusief gepresenteerd op de jaarlijkse ESET World-conferentie.

Gelsemium is zeer gericht – met slechts een paar slachtoffers, volgens de ESET-telemetrie – wat, gezien de  capaciteiten van de groep, toelaat te concluderen die betrokken is bij cyberspionage. De groep beschikt over een groot aantal aanpasbare componenten. “Op het eerste gezicht lijkt de hele Gelsemium-keten misschien eenvoudig, maar het enorme aantal configuraties dat in elke fase wordt geïmplementeerd, kan de parameters van de uiteindelijke lading in een oogwenk wijzigen, waardoor het moeilijker te begrijpen is”, zegt Thomas Dupuy, onderzoeker bij ESET en co-auteur van de Gelsemium-onderzoeksanalyse.

Gelsemium gebruikt drie componenten en een plug-in-systeem om operators een scala aan informatieverzamelingsmogelijkheden te bieden: de Gelsemine-dropper, de Gelsenicin- loader en de belangrijkste, de Gelsevirine plug-in.

Onderzoekers van ESET denken dat Gelsemium achter de aanval zit op de toeleveringsketen van BigNox, die voorheen Operation NightScout werd genoemd. Het ging om de aanval, gemeld door ESET, op een toeleveringsketen, die het updatemechanisme van NoxPlayer – een Android-emulator voor pc en Mac en onderdeel van de productlijn van BigNox – in gevaar bracht, met meer dan 150 miljoen gebruikers wereldwijd.  Het onderzoek bracht een overlap aan het licht tussen deze supply chain-aanval en de Gelsemium Group. De slachtoffers die aanvankelijk waren gecompromitteerd door de aanval op dit kanaal, werden vervolgens gecompromitteerd door Gelsemine.

Van de verschillende onderzochte varianten vertoont “variant 2” van het artikel (article) overeenkomsten met de Gelsemium-malware.

Voor meer technische details over Gelsemium, lees de blog “Gelsemium: when threat actors go gardening”op www.welivesecurity.com. Voor het laatste onderzoeknieuws, volg ook ESET Research on Twitter .

https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/

cyberspionageesetgelsemium

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken