是谁发动夜神模拟器供应链攻击？ESET揭露幕后的骇客组织身份

在今年2月，夜神模拟器（NoxPlayer）的软件更新机制惊传遭到入侵，虽然该款Android模拟器用户号称多达1.5亿人，但攻击者仅锁定特定少数用户下手，对他们的电脑进行监控。当时揭露这起攻击行动的防毒厂商ESET，近期公开了骇客的身份与手法，认为该组织的作案工具，仅与已知恶意软件存在少部分相似之处，ESET推断，该组织很可能与过往的攻击行动与其他骇客有所交集。

上述事故背后发动攻击的APT骇客组织，被命名为Gelsemium。根据相关的分析结果，ESET指出，这个组织最早约于2014年开始发起攻击行动，遭到Gelsemium攻击的受害者，遍及东亚和中东，受害单位的类型，包含了-机关、宗教团体、电子制造业，以及大专院校等。该组织锁定的国家，涵盖中国、蒙古、北朝鲜、韩国、日本、土耳其、伊朗、伊拉克、沙特阿拉伯、叙利亚，以及埃及。ESET也提供入侵指标（IoC）供资安人员参考。

对于Gelsemium擅长的手法而言，ESET认为是借由微软Office的漏洞与钓鱼邮件，来散布用来攻击的恶意软件，并且利用Exchange服务器的RCE漏洞，来进行水坑式攻击。

该组织约于2020年9月发动NightScout行动（Operation NightScout），渗透了夜神模拟器的更新服务器。ESET表示，在10万名同时是ESET与夜神模拟器的用户中，仅有5名收到恶意更新，他们位于台湾、香港，以及斯里兰卡。

但除了上述攻击事件之外，ESET也点名可能与Gelsemium有所关连、之前被发现的恶意软件：OwlProxy和Chrommme。为何这些恶意软件与该组织有关？ESET指出，前者与Gelsemium恶意软件的元件程式码，虽然几乎没有直接关连，但他们在分析之后还是发现与该组织有关的证据。

后者则是ESET从Gelsemium生态圈调查所找到的后门程式，与前者相同的是，从程式码的层面比对该骇客组织使用的元件，也几乎没有什么关连，但Chrommme与该组织使用的Gelsevirine，都使用相同的2个C2服务器。再者，另一个与该组织有关的证据，则是ESET也在遭受Gelsemium攻击的组织电脑中，发现了Chrommme。