Гельзевирин

Gelsevirinie доставляется к взломанным машинам промежуточным загрузчиком под названием Gelsemicine. Gelsevirinie - это последний модуль вредоносного ПО, применяемый в атаках группы Gelsemium APT (Advanced Persistent Threat). Загрузчик существует в двух разных версиях, и тот, который запускается, зависит от того, имеет ли зараженный пользователь права администратора или нет. Если жертва имеет необходимые права, Gelsevirine будет удален в папку C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll, в противном случае он будет доставлен как DLL с именем chrome_elf.dll в CommonAppData / Google / Chrome / Приложение / Библиотека / расположение.

После развертывания в целевой системе Gelsevirine инициирует сложную настройку для достижения и поддержания связи со своим сервером Command-and-Control. Во-первых, он полагается на встроенную DLL, выполняющую роль посредника. Кроме того, отдельная конфигурация отвечает за обработку различных типов протоколов, таких как tcp, udp, http и https.

Исследователи Infosec смогли обнаружить несколько подключаемых модулей, которые запускаются и запускаются Gelsevirine, каждый из которых имеет различную функциональность. Плагин FxCoder - это инструмент сжатия-декомпрессии, который упрощает обмен данными с C&C. Далее идет подключаемый модуль Utility, способный манипулировать файловой системой на взломанном устройстве. Последним из наблюдаемых подключаемых модулей является Inter - инструмент, который позволяет внедрять библиотеки DLL в выбранные процессы.