Gelsemium APT

El Mezo el Advanced Persistent Threat (APT)

Traduir a:

Gelsemium és un grup APT (Advanced Persistence Threat) que ha estat actiu almenys des del 2014. Els pirates informàtics han dut a terme múltiples campanyes d'atac contra objectius ubicats a l'est d'Àsia i les regions de l'Orient Mitjà principalment. Entre les seves víctimes potencials hi ha entitats d'una àmplia gamma de diferents verticals. Fins ara, les víctimes de Gelsemium APT inclouen agències governamentals, fabricants d'electrònica, organitzacions religioses, així com diverses universitats.

Kit d'eines de programari maliciós

El grup Gelsemium APT estableix una cadena d'atac multietapa per a les seves operacions. Després d'infringir el sistema objectiu, els pirates informàtics despleguen un programari maliciós comptador anomenat Gelsemine. El comptagotes és inusualment gran per a aquest tipus de programari maliciós, però inclou vuit executables incrustats. La mida gran és utilitzada per Gelsemine per adaptar-se a un mecanisme sofisticat que permet a l'actor de l'amenaça modificar el comportament de l'amenaça. El Gelsemium APT pot ajustar el comptagotes segons l'arquitectura de la víctima compromesa, ja sigui de 23 o 64 bits, i si l'usuari té privilegis d'administrador o no.

L'amenaça de la següent etapa és Gelsenicine. La seva tasca principal és recuperar un mòdul principal anomenat Gelsevirine i després executar-lo. El comportament exacte del carregador es determina en funció de diversos factors. Si la víctima té privilegis d'administrador, Gelsenicine deixarà caure la DLL danyada del programari maliciós de la següent etapa a C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Sense els privilegis necessaris, el carregador deixarà caure un chrome_elf.dll a la ubicació CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine és el complement principal de l'atac Gelsemium. Utilitza una configuració complexa en la seva comunicació amb el servidor Command-and-Control (C2, C&C). Una DLL incrustada específica actua com un home intermedi quan es tracta d'establir contacte. A més, una configuració s'encarrega de gestionar els diferents protocols: tcp, udp, http i https. Els investigadors d'Infosec han observat que Gelsevirine recupera diferents connectors, inclòs un mòdul de compressió i descompressió per a la comunicació C&C, un connector per manipular el sistema de fitxers i un que facilita la injecció de DLL en processos selectes.

Connexions addicionals de Gelsemium

Els investigadors van aconseguir descobrir certs vincles entre el grup Gelsemium APT i l'atac de la cadena de subministrament contra BigNox. Els pirates informàtics van comprometre el mecanisme d'actualització de NoxPlayer, un emulador d'Android per a PC i Mac.

OwlProxy és un mòdul danyat que mostra cert comportament que també s'ha observat a les eines de programari maliciós Gelsemium. Més concretament, les amenaces utilitzen mètodes similars per provar la versió de Windows al sistema compromès. Una altra porta del darrere de programari maliciós anomenada Chrommme no té les mateixes connexions òbvies, però alguns indicadors apunten a un enllaç amb Gelsemium. Al cap i a la fi, tant Chrommme com Gelseverine utilitzen el mateix servidor C&C com un dels servidors utilitzats per les amenaces. A més, es va descobrir una mostra de Chrommme en un sistema que també era objectiu de Gelsemium.

Cerca

Canvia de regió

Gelsemium APT

Enviar Comentari

Tendència

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Més vist

Lookmovie.io és segur?

DNS Unlocker

Estafa de correu electrònic "Geek Squad".