ESET Research ontdekt de nieuwste versie van Gelsemium: cyberspionage tegen overheden en andere doelwitten in Azië
Gelsemium is zeer gericht – met slechts een paar slachtoffers, volgens de ESET-telemetrie – wat, gezien de capaciteiten van de groep, toelaat te concluderen die betrokken is bij cyberspionage. De groep beschikt over een groot aantal aanpasbare componenten. “Op het eerste gezicht lijkt de hele Gelsemium-keten misschien eenvoudig, maar het enorme aantal configuraties dat in elke fase wordt geïmplementeerd, kan de parameters van de uiteindelijke lading in een oogwenk wijzigen, waardoor het moeilijker te begrijpen is”, zegt Thomas Dupuy, onderzoeker bij ESET en co-auteur van de Gelsemium-onderzoeksanalyse.
Gelsemium gebruikt drie componenten en een plug-in-systeem om operators een scala aan informatieverzamelingsmogelijkheden te bieden: de Gelsemine-dropper, de Gelsenicin- loader en de belangrijkste, de Gelsevirine plug-in.
Onderzoekers van ESET denken dat Gelsemium achter de aanval zit op de toeleveringsketen van BigNox, die voorheen Operation NightScout werd genoemd. Het ging om de aanval, gemeld door ESET, op een toeleveringsketen, die het updatemechanisme van NoxPlayer – een Android-emulator voor pc en Mac en onderdeel van de productlijn van BigNox – in gevaar bracht, met meer dan 150 miljoen gebruikers wereldwijd. Het onderzoek bracht een overlap aan het licht tussen deze supply chain-aanval en de Gelsemium Group. De slachtoffers die aanvankelijk waren gecompromitteerd door de aanval op dit kanaal, werden vervolgens gecompromitteerd door Gelsemine.
Van de verschillende onderzochte varianten vertoont “variant 2” van het artikel (article) overeenkomsten met de Gelsemium-malware.
Voor meer technische details over Gelsemium, lees de blog “Gelsemium: when threat actors go gardening”op www.welivesecurity.com. Voor het laatste onderzoeknieuws, volg ook ESET Research on Twitter .
https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/