Gelsemium APT

Gelsemium je skupina APT (Advanced Persistence Threat), která je aktivní minimálně od roku 2014. Hackeři provedli několik útočných kampaní proti cílům umístěným převážně ve východní Asii a na Středním východě. Mezi jejich potenciální oběti patří subjekty z celé řady různých vertikál. Mezi oběti Gelsemium APT zatím patří vládní agentury, výrobci elektroniky, náboženské organizace a také několik univerzit.

Malware Toolkit

Skupina Gelsemium APT zavádí pro své operace vícestupňový řetězec útoků. Po prolomení cíleného systému hackeři nasadí kapací malware s názvem Gelsemine. Kapátko je neobvykle velké pro tento typ malwaru, ale obsahuje osm vestavěných spustitelných souborů. Velkou velikost využívá Gelsemine k umístění sofistikovaného mechanismu, který umožňuje aktérovi hrozby modifikovat chování hrozby. Gelsemium APT dokáže kapátko upravit podle architektury napadené oběti – buď 23bitové nebo 64bitové, a podle toho, zda má uživatel oprávnění správce nebo ne.

Další hrozbou je gelsenicin. Jeho hlavním úkolem je získat hlavní modul s názvem Gelsevirine a poté jej spustit. Přesné chování nakladače je určeno na základě několika faktorů. Pokud má oběť oprávnění správce, Gelsenicine zahodí poškozenou knihovnu DLL malwaru další fáze pod C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Bez potřebných oprávnění zavaděč místo toho zahodí soubor chrome_elf.dll do umístění CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine je hlavním pluginem útoku Gelsemium. Při komunikaci se serverem Command-and-Control (C2, C&C) využívá složité nastavení. Konkrétní vložená knihovna DLL se při navazování kontaktu chová jako man-in-the-middle. Kromě toho má konfigurace za úkol zpracovávat různé protokoly - tcp, udp, http a https. Výzkumníci společnosti Infosec pozorovali, že Gelsevirine získává různé zásuvné moduly včetně kompresního a dekompresního modulu pro komunikaci C&C, zásuvného modulu pro manipulaci se souborovým systémem a zásuvného modulu, který usnadňuje vkládání knihoven DLL do vybraných procesů.

Dodatečné připojení Gelsemium

Výzkumníkům se podařilo odhalit určité vazby mezi skupinou Gelsemium APT a útokem dodavatelského řetězce proti BigNox. Hackeři kompromitovali aktualizační mechanismus NoxPlayer, emulátoru Androidu pro PC a Mac.

OwlProxy je poškozený modul, který vykazuje určité chování, které bylo také pozorováno v malwarových nástrojích Gelsemium. Přesněji řečeno, hrozby používají podobné metody k testování verze systému Windows na napadeném systému. Další malware backdoor s názvem Chrommme nemá stejné zřejmé souvislosti, ale určité indikátory ukazují na spojení s Gelsemium. Koneckonců, Chrommme i Gelseverine používají stejný server C&C jako jeden ze serverů používaných hrozbami. Dále byl objeven vzorek Chrommme na systému, který byl také zaměřen na Gelsemium.