Gelsemium APT

До Mezo през Advanced Persistent Threat (APT)г

Превод на:

Gelsemium е група APT (Advanced Persistence Threat), която е активна поне от 2014 г. Хакерите са провели множество кампании за атака срещу цели, разположени предимно в регионите на Източна Азия и Близкия изток. Сред потенциалните им жертви са субекти от широк спектър от различни вертикали. Досега жертвите на Gelsemium APT включват правителствени агенции, производители на електроника, религиозни организации, както и няколко университета.

Инструментариум за злонамерен софтуер

Групата Gelsemium APT създава многоетапна верига за атака за своите операции. След като са нарушили целевата система, хакерите внедряват злонамерен софтуер за дропер на име Gelsemine. Капкомерът е необичайно голям за този тип зловреден софтуер, но включва осем вградени изпълними файла. Големият размер се използва от Gelsemine за настаняване на усъвършенстван механизъм, който позволява на заплахата да промени поведението на заплахата. Gelsemium APT може да настрои капкомер според архитектурата на компрометираната жертва - 23-битова или 64-битова, и дали потребителят има администраторски права или не.

Следващата заплаха е Gelsenicine. Основната му задача е да извлече основен модул на име Gelsevirine и след това да го изпълни. Точното поведение на товарача се определя въз основа на няколко фактора. Ако жертвата има администраторски права, Gelsenicine ще изтрие повредената DLL на следващия етап от злонамерен софтуер в C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Без необходимите привилегии, зареждането вместо това ще пусне chrome_elf.dll в местоположението CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine е основният плъгин на атаката Gelsemium. Той използва сложна настройка в комуникацията си със сървъра за командване и управление (C2, C&C). Конкретна вградена DLL действа като човек по средата, когато става въпрос за установяване на контакт. В допълнение, конфигурацията има задача да обработва различните протоколи - tcp, udp, http и https. Изследователите от Infosec са наблюдавали Gelsevirine да извлича различни добавки, включително модул за компресия-декомпресия за комуникация с C&C, плъгин за манипулиране на файловата система и такъв, който улеснява инжектирането на DLL файлове в избрани процеси.

Допълнителни връзки Gelsemium

Изследователите успяха да разкрият определени връзки между групата Gelsemium APT и атаката на веригата за доставки срещу BigNox. Хакерите компрометираха механизма за актуализиране на NoxPlayer, емулатор на Android за персонални компютри и Mac.

OwlProxy е повреден модул, който показва определено поведение, което също е наблюдавано в инструментите за злонамерен софтуер Gelsemium. По-конкретно, заплахите използват подобни методи за тестване на версията на Windows на компрометираната система. Друг бекдор за злонамерен софтуер, наречен Chrommme, няма същите очевидни връзки, но определени индикатори сочат към връзка с Gelsemium. В крайна сметка и Chrommme, и Gelseverine използват един и същ C&C сървър като един от сървърите, използвани от заплахите. Освен това, проба от Chrommme беше открита в система, която също беше насочена от Gelsemium.