Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Od połowy 2020 r. eksperci ESET analizowali wiele kampanii, które później zostały przypisane grupie cyberszpiegowskiej Gelsemium. W trakcie badania okazało się, że najwcześniejsza wersja szkodliwego oprogramowania Gelsevirine sięga 2014 roku. Ekskluzywne wyniki badań dotyczące działalności Gelsemium zostały zaprezentowane podczas dorocznej konferencji ESET World.
Naukowcy z ESET odkryli nową wersję tego backdoora, którego ofiarami stały się rządy, organizacje religijne, producenci elektroniki i uniwersytety znajdujące się w Azji Wschodniej oraz na Bliskim Wschodzie.
Gelsemium działa co najmniej od 2014 roku i jest zaangażowana w cyberszpiegostwo. Od tego czasu wiele firm zajmujących się cyberbezpieczeństwem dostrzegło rosnące zagrożenie ze strony tej grupy. Obecnie jej członkowie umiejętnie pozostają w cieniu, a szczegółowe informacje na temat ich aktywności są trudne do znalezienia. Działania Gelsemium są bardzo ukierunkowane - według danych telemetrycznych ESET - od początków działalności grupa koncentruje swoje ataki jedynie na kilku ofiarach.
Nowa wersja Gelsemium wykorzystuje trzy komponenty i system wtyczek, które zapewniają operatorom złośliwego oprogramowania szereg możliwości gromadzenia informacji.
Pierwszy komponent to dropper Gelsemine, czyli złośliwy program przeznaczony do dostarczania innego złośliwego oprogramowania. Gelsemine napisany jest w języku C++ przy użyciu biblioteki Microsoft Foundation Class. Drugi to loader Gelsenicyne - moduł ładujący, osadzony przez droppera o nazwie main.dll w systemie ofiary, utrudniający wykrycie zagrożenia. Trzecim komponentem jest główna wtyczka Gelseverine. Badania kilku ofiar ataków wskazują, że grupa dysponuje ogromną liczbą konfigurowalnych komponentów, a analiza systemu wtyczek wykorzystywanych podczas ataków pokazuje, że osoby należące do Gelsemium mają głęboką wiedzę i doświadczenie w zakresie C++.
"Na pierwszy rzut oka cały łańcuch infekcji Gelsemium może wydawać się prosty. Jednak duża liczba konfiguracji, implantowanych na każdym jego etapie, umożliwia znaczącą modyfikację ustawień ostatecznej postaci szkodliwego kodu. Taki mechanizm znacznie utrudnia zrozumienie sposobu działania tego złośliwego oprogramowania" - wyjaśnia Thomas Dupuy, badacz ESET, współautor analizy badawczej dot. Gelsemium.
Badacze ESET uważają, że Gelsemium stoi za atakiem na łańcuch dostaw BigNox, który na początku 2021 roku został udokumentowany przez ESET jako Operation NightScout. Był to cyberatak wymierzony w mechanizm aktualizacji NoxPlayer, emulator Androida dla komputerów PC i Mac, a także część gamy produktów BigNox, których użytkownikami było 150 milionów osób na całym świecie. Badanie specjalistów ds. cyberbezpieczeństwa ujawniło, że niektóre ofiary ataku na BigNox zostały później zainfekowane szkodliwym oprogramowaniem Gelsemine.
Źródło: ESET
