ESET说,Mysterious Gelsemium APT落后于2月妥协

恶意船员针对我和亚洲,但也试图逃避中国的AV套房


ESET已发布了一个高级持久威胁(APT)机组人员的详细信息,这些威胁旨在部署了最近的供应链攻击方法,而不是目标,包括“电子制造商”,尽管它没有指定哪种。

“竞选活动的受害者位于东亚以及中东地区,包括各国政府,宗教组织,电子制造商和大学,”今天发表的研究报告中的ESET表示,将APT船员命名为玻璃场菌。

这些目标国家包括中国,日本,蒙古,台湾,北朝鲜,以及根据ESET绘制的地图的各种中东国家。然而,歹徒的恶意软件以前包括绕过旨在逃避中式防病毒套房的绕道。

显示凝胶的已知目标的ESET图示

显示凝胶的已知目标的ESET图示

据说凝胶曾落后于叫做Noxplayer的免费软件Android仿真器的供应链攻击,这是由Bignox制造的,这在全球全球总共拥有约1.5亿用户。

在事件中 ESET在2月份突出显示 在归因于APT之前,Bignox的Update API机制可能会受到影响,以将恶意软件传送到所选用户,以便在合法的新版本的幌子下。

首次在2010年中期看到,玻璃谷族使用送货向量从普通的老矛网络钓鱼开始滥用 Microsoft Exchange漏洞 在今年的第1季度见。

发现新的APTS并不罕见,但仍然增加了更广泛的InfoSec知识的身体,并且肯定会从赎金瓶帮派活动的无尽分析中变化;一份宝贵的课程,并非今天互联网联合组织面临的每个威胁都是制作主流电信新闻标题的威胁。

“在我们的调查中,我们发现了Mimikatz被丢弃在机器上的受害者。操作员使用从远程服务器下载的工具的PowerShell版本“添加了ESET。

基于斯洛伐克的防病毒公司为其白皮书提供了对其他INFOSEC研究公司的感恩,引用了远离中国本身的公司的工作。回到2018年中国infosec公司venustech 发表 (PDF,中文)关于ESET现在称之为凝胶的论文,特别是一个结论的句子,特别是伸出的句子:“从这个组织提供的恶意软件包含大量的中国反病毒软件的检测和规避方法。”

ESET本身在其自身分析中突出显示,即玻璃甘蔗的恶意软件有效载荷包括支票,其中包括常见的消费者端点防病毒套房,Qihoo360和卡巴斯基。

该公司的托马斯·杜帕斯告诉了 企业技术新闻:“此防病毒检测有点复杂,它用于调整恶意软件的行为。例如,停止执行某些进程或用于丢弃下一个阶段的机制,有时终止恶意软件的执行。在该标准用户或管理员和Windows版本之上,添加了更多的多功能性。例如,如果安装了360个AV并且Windows版本在Windows Vista之前,它会终止执行。“

ESET的更多信息 博客。 ®


您可能喜欢的其他故事

咬住它的手©1998-2021