NoxPlayer供应链攻击很可能是Gelsemium黑客所为

一个名为Gelsemium的新网络间谍组织与今年早些时候披露的针对NoxPlayer Android emulator的供应链攻击有关。

这些发现来自对APT工作人员进行的多个活动的系统分析，有证据表明，最早的攻击可以追溯到2014年，代号为TooHash的攻击基于这些入侵中部署的恶意软件有效载荷。

网络安全公司ESET在上周发布的一份分析报告中表示：“这些活动的受害者分布在东亚和中东，包括政府、宗教组织、电子制造商和大学。”。

“Gelsemium的整个链乍一看可能看起来很简单，但在每个阶段植入的详尽配置修改了最终有效载荷的飞行设置，使其更难理解。”

目标国家包括中国、蒙古、朝鲜和韩国、日本、土耳其、伊朗、伊拉克、沙特阿拉伯、叙利亚和埃及。

自20世纪10年代中期问世以来，Gelsemium被发现使用了多种恶意软件交付技术，从利用Microsoft Office漏洞（CVE-2012-0158）的矛式钓鱼文档和水坑，到Microsoft Exchange Server中的远程代码执行缺陷—；可能是CVE-2020-0688，这是Windows制造商在2020年6月发布的—；部署中国直升机网络外壳。

根据ESET，Gelmimia的第一阶段是一个C++的滴管，名为“Gelsemine”，它将加载器“Gelthigina”部署到目标系统上，这反过来又检索并执行主要恶意软件。住手！“它能够加载指挥与控制（C2）服务器提供的其他插件。

据称，这名对手是针对BigNox的NoxPlayer发起的供应链攻击的幕后主使，该攻击被称为夜巡行动，“其中软件的更新机制被破坏，以安装后门，例如Gh0st鼠和毒长春藤鼠监视受害者，捕捉击键，收集有价值的信息。

ESET研究人员托马斯·杜普伊（Thomas Dupuy）和马蒂厄·法乌（Matthieu Faou）指出，“最初受到供应链攻击的受害者后来受到Gelsemine的攻击，”观察到NoxPlayer和Gelsemium恶意软件的特洛伊版本之间存在相似之处。

更重要的是，另一个后门叫铬在一个未具名组织的机器上被检测到，该机器也受到Gelsemium集团的危害，使用了与Gelsevirine相同的C2服务器，这增加了威胁参与者可能在其恶意软件工具集中共享攻击基础设施的可能性。

研究人员总结道：“Gelsemium生物群落非常有趣：它几乎没有受害者（根据我们的遥测数据）拥有大量可适应的成分。”。“插件系统显示开发人员有深刻的C++知识。”