جيلسيميوم APT

Gelsemium هي مجموعة APT (تهديد استمرار متقدم) نشطت منذ عام 2014 على الأقل. نفذ المتسللون حملات هجوم متعددة ضد أهداف تقع في مناطق شرق آسيا والشرق الأوسط في الغالب. من بين الضحايا المحتملين كيانات من مجموعة واسعة من القطاعات المختلفة. يشمل ضحايا Gelsemium APT حتى الآن الوكالات الحكومية ومصنعي الأجهزة الإلكترونية والمنظمات الدينية بالإضافة إلى العديد من الجامعات.

مجموعة أدوات البرامج الضارة

تنشئ مجموعة Gelsemium APT سلسلة هجوم متعددة المراحل لعملياتها. بعد اختراق النظام المستهدف ، قام المتسللون بنشر برنامج ضار بالقطارة يسمى Gelsemine. القطارة كبيرة بشكل غير عادي بالنسبة لهذا النوع من البرامج الضارة ولكنها تتضمن ثمانية ملفات تنفيذية مضمنة. يتم استخدام الحجم الكبير بواسطة Gelsemine لاستيعاب آلية معقدة تسمح للجهة المهددة بتعديل سلوك التهديد. يمكن لـ Gelsemium APT ضبط القطارة وفقًا لبنية الضحية المخترقة - إما 23 بت أو 64 بت ، وما إذا كان المستخدم لديه امتيازات المسؤول أم لا.

تهديد المرحلة التالية هو جيلسينيسين. وتتمثل مهمتها الرئيسية في استرداد وحدة نمطية رئيسية تسمى Gelsevirine ثم تنفيذها. يتم تحديد السلوك الدقيق للودر بناءً على عدة عوامل. إذا كان لدى الضحية امتيازات المسؤول ، فسيقوم Gelsenicine بإسقاط DLL التالف من البرامج الضارة في المرحلة التالية ضمن C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. بدون الامتيازات اللازمة ، سيقوم المُحمل بدلاً من ذلك بإسقاط ملف chrome_elf.dll في CommonAppData / Google / Chrome / Application / Library / location.

Gelsevirine هو المكون الإضافي الرئيسي لهجوم Gelsemium. يستخدم إعدادًا معقدًا في اتصاله بخادم الأوامر والتحكم (C2 ، C&C). تعمل DLL المضمنة المحددة كرجل في الوسط عندما يتعلق الأمر بإنشاء جهة اتصال. بالإضافة إلى ذلك ، يتم تكليف التكوين بمعالجة البروتوكولات المختلفة - tcp و udp و http و https. لاحظ باحثو Infosec أن Gelsevirine يسترد مكونات إضافية مختلفة بما في ذلك وحدة ضغط وفك الضغط لاتصالات C&C ، ومكوِّن إضافي لمعالجة نظام الملفات وآخر يسهل حقن ملفات DLL في عمليات محددة.

وصلات جيلسيميوم إضافية

تمكن الباحثون من الكشف عن روابط معينة بين مجموعة Gelsemium APT وهجوم سلسلة التوريد ضد BigNox. اخترق المتسللون آلية التحديث الخاصة بـ NoxPlayer ، وهو محاكي Android لأجهزة الكمبيوتر الشخصية وأجهزة Mac.

OwlProxy هو وحدة تالفة تعرض سلوكًا معينًا تمت ملاحظته أيضًا في أدوات البرامج الضارة Gelsemium. وبشكل أكثر تحديدًا ، تستخدم التهديدات طرقًا مماثلة لاختبار إصدار Windows على النظام المخترق. لا يحتوي باب خلفي آخر للبرامج الضارة يسمى Chrommme على نفس الاتصالات الواضحة ولكن تشير بعض المؤشرات إلى وجود ارتباط مع Gelsemium. بعد كل شيء ، يستخدم كل من Chrommme و Gelseverine نفس خادم C & C كأحد الخوادم التي تستخدمها التهديدات. علاوة على ذلك ، تم اكتشاف عينة من Chrommme على نظام تم استهدافه أيضًا بواسطة Gelsemium.