ESET Research раскрывает последнюю версию Gelsemium: кибершпионаж против правительства и других целей в Азии.
С середины 2020 года компания ESET Research проанализировала несколько кампаний, позже отнесенных к группе кибершпионажа Gelsemium, и отследила самую раннюю версию своего основного вредоносного ПО, Gelsevirine, до 2014 года.
Новая версия Gelsevirine - сложного и модульного бэкдора. Жертвы его кампаний находятся в Восточной Азии, а также на Ближнем Востоке и включают правительства, религиозные организации, производителей электроники и университеты. В настоящее время группе удается оставаться в основном вне поля зрения. Это исследование было эксклюзивно анонсировано на ежегодной конференции ESET World на этой неделе.
Gelsemium очень целеустремлен - по данным телеметрии ESET всего несколько жертв - и, учитывая его возможности, можно сделать вывод о том, что эта группа причастна к кибершпионажу. Группа имеет огромное количество адаптируемых компонентов. «Вся цепочка Gelsemium может показаться простой на первый взгляд, но исчерпывающее количество конфигураций, внедряемых на каждом этапе, может оперативно изменять настройки для конечной полезной нагрузки, что затрудняет понимание», - объясняет исследователь ESET Томас Дюпюи, соавтор -автор исследовательского анализа Gelsemium.
Gelsemium использует три компонента и систему плагинов, чтобы дать операторам ряд возможностей для сбора информации: пипетка Gelsemine, загрузчик Gelsenicine и основной плагин Gelsevirine.
Исследователи ESET считают, что Gelsemium стоит за атакой цепочки поставок на BigNox, о которой ранее сообщалось как Operation NightScout . ESET сообщила, что это была атака цепочки поставок, которая скомпрометировала механизм обновления NoxPlayer, эмулятора Android для ПК и Mac, входящего в линейку продуктов BigNox, с более чем 150 миллионами пользователей по всему миру. Расследование выявило некоторое совпадение между этой атакой на цепочку поставок и группой Gelsemium. Жертвы, изначально скомпрометированные этой атакой на цепочку поставок, позже были скомпрометированы Gelsemine. Среди различных рассмотренных вариантов «вариант 2» из статьи показывает сходство с вредоносным ПО Gelsemium.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
Ваши контактные данные не публикуются на сайте.