Gelsevirine

Gelsevirinie levereras till de komprometterade maskinerna av en mid-stage lastare som heter Gelsemicine. Gelsevirinie är den sista etappen malware-modulen som används i attacker av Gelsemium APT- gruppen (Advanced Persistent Threat). Lastaren finns i två olika versioner och den som körs beror på om den infekterade användaren har administrativa behörigheter eller inte. Om offret har de behörigheter som krävs kommer Gelsevirine att tappas under C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll, annars levereras det som en DLL med namnet chrome_elf.dll i CommonAppData / Google / Chrome / Applikation / Bibliotek / plats.

När den väl har distribuerats på det riktade systemet initierar Gelsevirine en komplex installation för att nå och upprätthålla kommunikation med sin Command-and-Control-server. För det första är det beroende av en inbäddad DLL för att utföra rollen som människa i mitten. Dessutom är en separat konfiguration ansvarig för hantering av olika protokolltyper som tcp, udp, http och https.

Infosec-forskare kunde upptäcka flera plugin-program som hämtas och initieras av Gelsevirine, som alla har olika funktioner. FxCoder-plugin-programmet är ett komprimerings-dekompressionsverktyg som underlättar C & C-kommunikation. Därefter finns plugin-programmet Utility som kan manipulera filsystemet på den komprometterade enheten. Det sista av de observerade plug-insna är Inter - ett verktyg som gör det möjligt att injicera DLL-filer i valda processer.