Seguridad

ESET descubre última versión de Gelsemium

Jim Cueva | @jcmagazine

A mediados de 2020 investigadores de ESET, compañía líder en detección proactiva de amenazas, comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo de ciberespionaje Gelsemium, y rastrearon la primera versión de su principal malware que se remonta a 2014. Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Gelsemium está muy dirigido, con solo unas pocas víctimas (según la telemetría de ESET), y considerando sus capacidades, esto apunta a la conclusión de que el grupo está involucrado en el ciberespionaje. El grupo tiene una gran cantidad de componentes adaptables

Los investigadores de ESET creen que Gelsemium está detrás del ataque a la cadena de suministro contra BigNox que se informó anteriormente como Operación NightScout. Este fue un ataque a la cadena de suministro, informado por ESET, que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox, con más de 150 millones de usuarios en todo el mundo. La investigación descubrió cierta superposición entre este ataque a la cadena de suministro y el grupo Gelsemium.

Las víctimas originalmente comprometidas por ese ataque a la cadena de suministro luego fueron comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la variante 2 del artículo muestra similitudes con el malware Gelsemium.

Distribución geográfica de los blancos de ataque de Gelsemium

Durante la investigación desde ESET identificaron algunos programas maliciosos interesantes que se describen en las siguientes secciones.

– Operación NightScout (BigNox): En enero de 2021, ESET publicó Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló relación entre este ataque y el grupo Gelsemium.

– OwlProxy: Este módulo también viene en dos variantes, versiones de 32 y 64 bits, y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.

– Chrommme: Chrommme es un backdoor identificado por ESET en el ecosistema Gelsemium. Similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que llevan a creer que de alguna manera está relacionado con el grupo.

Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida.

Jim Cueva | @jcmagazine

Artículos relacionados

Ransomware

Kaspersky descubre nuevo ransomware nunca antes visto

14/11/2024
Kingston

Descubra como proteger tus datos frente al aumento del ciberdelito

14/11/2024
Verisure

6 puntos a considerar antes de adquirir un sistema de seguridad

13/11/2024
Seguridad

¿Estás listo para las ofertas online?

08/11/2024
© Creado por Jim Cueva | Todos los derechos reservados
Back to top button