Skip to content

ESET揭露夜神模擬器供應鏈攻擊的幕後駭客組織身分

今年2月,夜神模擬器(NoxPlayer)的軟體更新機制遭到入侵,該款Android模擬器用戶全球約1.5億人,攻擊者鎖定特定少數用戶下手,對他們的電腦進行監控。

背後發動攻擊的APT駭客組織,被命名為Gelsemium,根據相關的分析結果,ESET指出,這個組織最早約於2014年開始發起攻擊行動,遭到Gelsemium攻擊的受害者,遍及東亞和中東,受害單位的類型,包含了政府機關、宗教團體、電子製造業,以及大專院校等。該組織鎖定的國家,涵蓋中國、蒙古、北韓、南韓、日本、土耳其、伊朗、伊拉克、沙烏地阿拉伯、敘利亞,以及埃及。ESET也提供入侵指標(IoC)供資安人員參考。

對於Gelsemium擅長的手法而言,ESET認為是藉由微軟Office的漏洞與釣魚郵件,來散布用來攻擊的惡意軟體,並且利用Exchange伺服器的RCE漏洞,來進行水坑式攻擊。該組織約於2020年9月發動NightScout行動(Operation NightScout),滲透了夜神模擬器的更新伺服器。ESET表示,在10萬名同時是ESET與夜神模擬器的用戶中,僅有5名收到惡意更新,他們位於臺灣、香港,以及斯里蘭卡。

除了上述攻擊事件之外,ESET也點名兩支之前被發現的惡意軟體:OwlProxy和Chrommme,可能與Gelsemium有所關連。為何這些惡意軟體與該組織有關?ESET指出,前者與Gelsemium惡意軟體的元件程式碼,雖然幾乎沒有直接關連,但他們在分析之後還是發現與該組織有關的證據。

後者則是ESET從Gelsemium生態圈調查所找到的後門程式,與前者相同的是,從程式碼的層面比對該駭客組織使用的元件,也幾乎沒有什麼關連,但Chrommme與該組織使用的Gelsevirine,都使用相同的2個C2伺服器。再者,另一個與該組織有關的證據,則是ESET也在遭受Gelsemium攻擊的組織電腦中,發現了Chrommme。

原文出處一:https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/

原文出處二:https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/?skip=1

關於台灣二版Version 2
台灣二版(V2)是亞洲其中一間最有活力的IT公司,發展及代理各種互聯網、資訊科技、資訊安全、多媒體產品,包括通訊系統等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。台灣二版(V2)的銷售範圍包括香港、中國、台灣、新加坡、澳門等地區,客戶涵蓋各產業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞洲各城市的消費市場客戶。 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟體提供商,其 獲獎產品——NOD32防病毒軟體系統,能夠針對各種已知或未知病毒、間諜軟體 (spyware)、rootkits和其他惡意軟體為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲 得了更多的Virus Bulletin 100%獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳 能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事 處,代理機構覆蓋全球超過100個國家。