ESET Research découvre la dernière version de Gelsemium : du cyber-espionnage contre les gouvernements et autres cibles en Asie
Publié le 11/06/2021 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, MONTREAL, le 11 juin 2021 – Depuis mi-2020, ESET Research a analysé plusieurs campagnes attribuées plus tard au groupe de cyberespionnage Gelsemium et a retrouvé la première version - de 2014 - de leur principal malware, Gelsevirine. Au cours leurs travaux, les chercheurs d'ESET ont découvert une nouvelle version de Gelsevirine, une porte dérobée à la fois complexe et modulaire. Les victimes de ces campagnes sont en Asie de l'Est ainsi qu'au Moyen-Orient et comprennent des gouvernements, des organisations religieuses, des fabricants d'électronique et des universités. Jusqu’à présent, le groupe a réussi à rester principalement sous le radar. Cette recherche a été présentée en exclusivité lors de la conférence annuelle ESET World cette semaine.
Gelsemium est fort ciblé - avec seulement quelques victimes, selon la télémétrie ESET – ce qui permet, compte tenu de ses capacités, de conclure que le groupe est impliqué dans le cyber-espionnage. Le groupe dispose d'un grand nombre de composants adaptables. «A première vue toute la chaîne de Gelsemium peut sembler simple, mais le nombre exhaustif de configurations, implantées à chaque étape, peut modifier à la volée les paramètres de la charge utile finale. Ceci la rend plus difficile à comprendre », explique Thomas Dupuy, chercheur chez ESET et co- auteur de l'analyse de recherche Gelsemium. Gelsemium utilise trois composants et un système de plug-in pour offrir aux opérateurs un éventail de possibilités de collecte d'informations: le dropper Gelsemine, le chargeur Gelsenicine et le plug-in principal Gelsevirine.
Les chercheurs d'ESET pensent que Gelsemium est à l'origine de l'attaque contre la chaîne d'approvisionnement BigNox qui était précédemment dénommée Opération NightScout (Operation NightScout). Il s'agit de l’attaque d’une chaîne d'approvisionnement, signalée par ESET, qui a compromis le mécanisme de mise à jour de NoxPlayer, un émulateur Android pour PC et Mac, et une partie de la gamme de produits de BigNox, avec plus de 150 millions d'utilisateurs dans le monde. L'enquête a révélé un chevauchement entre cette attaque de la chaîne d'approvisionnement et le groupe Gelsemium. Les victimes initialement compromises par l’attaque de cette chaîne ont ensuite été compromises par Gelsemine. Parmi les différentes variantes examinées, la « variante 2 » de l'article (article) présente des similitudes avec le malware Gelsemium.
Pour plus de détails techniques sur Gelsemium, lisez le blog “Gelsemium: when threat actors go gardening” sur www.welivesecurity.com. Pour les toutes dernières nouvelles sur la recherche, suivez aussi ESET Research on Twitter
https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à la détection et la réponse des terminaux, en passant par le cryptage et l'authentification multifactorielle, les solutions hautes performances et conviviales d'ESET protègent et surveillent discrètement 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technomogie de façon sûre. Ceci est supporté par les centres de R&D d'ESET du le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com ou suivez nous sur LinkedIn, Facebook, et Twitter.
Gelsemium est fort ciblé - avec seulement quelques victimes, selon la télémétrie ESET – ce qui permet, compte tenu de ses capacités, de conclure que le groupe est impliqué dans le cyber-espionnage. Le groupe dispose d'un grand nombre de composants adaptables. «A première vue toute la chaîne de Gelsemium peut sembler simple, mais le nombre exhaustif de configurations, implantées à chaque étape, peut modifier à la volée les paramètres de la charge utile finale. Ceci la rend plus difficile à comprendre », explique Thomas Dupuy, chercheur chez ESET et co- auteur de l'analyse de recherche Gelsemium. Gelsemium utilise trois composants et un système de plug-in pour offrir aux opérateurs un éventail de possibilités de collecte d'informations: le dropper Gelsemine, le chargeur Gelsenicine et le plug-in principal Gelsevirine.
Les chercheurs d'ESET pensent que Gelsemium est à l'origine de l'attaque contre la chaîne d'approvisionnement BigNox qui était précédemment dénommée Opération NightScout (Operation NightScout). Il s'agit de l’attaque d’une chaîne d'approvisionnement, signalée par ESET, qui a compromis le mécanisme de mise à jour de NoxPlayer, un émulateur Android pour PC et Mac, et une partie de la gamme de produits de BigNox, avec plus de 150 millions d'utilisateurs dans le monde. L'enquête a révélé un chevauchement entre cette attaque de la chaîne d'approvisionnement et le groupe Gelsemium. Les victimes initialement compromises par l’attaque de cette chaîne ont ensuite été compromises par Gelsemine. Parmi les différentes variantes examinées, la « variante 2 » de l'article (article) présente des similitudes avec le malware Gelsemium.
Pour plus de détails techniques sur Gelsemium, lisez le blog “Gelsemium: when threat actors go gardening” sur www.welivesecurity.com. Pour les toutes dernières nouvelles sur la recherche, suivez aussi ESET Research on Twitter
https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à la détection et la réponse des terminaux, en passant par le cryptage et l'authentification multifactorielle, les solutions hautes performances et conviviales d'ESET protègent et surveillent discrètement 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technomogie de façon sûre. Ceci est supporté par les centres de R&D d'ESET du le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com ou suivez nous sur LinkedIn, Facebook, et Twitter.