Serangan Rantai Pasokan NoxPlayer Kemungkinan Pekerjaan Peretas Gelsemium

  • Whatsapp
serangan cyber rantai pasokan supply

Sebuah kelompok spionase cyber baru bernama Gelsemium telah dikaitkan dengan serangan rantai pasokan yang menargetkan emulator Android NoxPlayer yang diungkapkan awal tahun ini.

Temuan ini berasal dari analisis sistematis dari beberapa kampanye yang dilakukan oleh kru APT, dengan bukti serangan paling awal sejak tahun 2014 dengan nama kode Operasi TooHash berdasarkan muatan malware yang digunakan dalam intrusi tersebut.

Bacaan Lainnya

“Korban kampanye ini berlokasi di Asia Timur serta Timur Tengah dan termasuk pemerintah, organisasi keagamaan, produsen elektronik, dan universitas,” firma keamanan siber ESET berkata dalam analisis yang diterbitkan minggu lalu.

Tim Stack Overflow

“Seluruh rantai Gelsemium mungkin tampak sederhana pada pandangan pertama, tetapi konfigurasi lengkap, ditanamkan pada setiap tahap, memodifikasi pengaturan on-the-fly untuk muatan akhir, membuatnya lebih sulit untuk dipahami.”

Negara-negara yang ditargetkan termasuk Cina, Mongolia, Korea Utara dan Selatan, Jepang, Turki, Iran, Irak, Arab Saudi, Suriah, dan Mesir.

Sejak didirikan pada pertengahan 2010-an, Gelsemium telah ditemukan menggunakan berbagai teknik pengiriman malware mulai dari dokumen spear-phishing yang mengeksploitasi kerentanan Microsoft Office (CVE-2012-0158) dan lubang berair untuk kelemahan eksekusi kode jarak jauh di Microsoft Exchange Server — kemungkinan CVE-2020-0688, yang ditangani oleh pembuat Windows di Juni 2020 — untuk menyebarkan Helikopter Cina cangkang web.

serangan cyber rantai pasokan supply

Menurut ESET, tahap pertama Gelsemium adalah penetes C++ bernama “Gelsemine,” yang menyebarkan loader “Gelsenicine” ke sistem target, yang, pada gilirannya, mengambil dan mengeksekusi malware utama “Gelsevirin” yang mampu memuat plug-in tambahan yang disediakan oleh server command-and-control (C2).

Musuh dikatakan berada di balik serangan rantai pasokan yang ditujukan ke NoxPlayer BigNox, dalam kampanye yang dijuluki “Operasi Pramuka Malam,” di mana mekanisme pembaruan perangkat lunak dikompromikan untuk menginstal pintu belakang seperti RAT dan TIKUS PoisonIvy untuk memata-matai korbannya, menangkap penekanan tombol, dan mengumpulkan informasi berharga.

Mencegah Pelanggaran Data

“Korban yang awalnya dikompromikan oleh serangan rantai pasokan itu kemudian dikompromikan oleh Gelsemine,” peneliti ESET Thomas Dupuy dan Matthieu Faou mencatat, dengan kesamaan yang diamati antara versi malware NoxPlayer dan Gelsemium yang di-trojan.

Terlebih lagi, pintu belakang lain yang disebut krom, yang terdeteksi pada mesin organisasi yang tidak disebutkan namanya yang juga disusupi oleh grup Gelsemium, menggunakan server C2 yang sama dengan yang dimiliki Gelsevirine, meningkatkan kemungkinan bahwa pelaku ancaman mungkin berbagi infrastruktur serangan di seluruh perangkat malwarenya.

“Bioma Gelsemium sangat menarik: menunjukkan sedikit korban (menurut telemetri kami) dengan sejumlah besar komponen yang dapat disesuaikan,” para peneliti menyimpulkan. “Sistem plug-in menunjukkan bahwa pengembang memiliki pengetahuan C++ yang mendalam.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *