Gelsemium APT

Gelsemium er en APT-gruppe (Advanced Persistence Threat), der har været aktiv siden mindst 2014. Hackerne har overvejende gennemført flere angrebskampagner mod mål i Østasien og Mellemøsten. Blandt deres potentielle ofre er enheder fra en bred vifte af forskellige vertikaler. Indtil videre inkluderer Gelsemium APT's ofre regeringsorganer, elektroniske producenter, religiøse organisationer samt flere universiteter.

Malware-værktøjssæt

Gelsemium APT-gruppen opretter en flertrins angrebskæde til deres operationer. Efter at have overtrådt det målrettede system, implementerer hackerne en dropper-malware ved navn Gelsemine. Dropperen er usædvanlig stor for denne malware-type, men den indeholder otte indlejrede eksekverbare filer. Den store størrelse bruges af Gelsemine til at rumme en sofistikeret mekanisme, der gør det muligt for trusselsaktøren at ændre trusselens opførsel. Gelsemium APT kan justere dropperen i henhold til arkitekturen for det kompromitterede offer - enten 23-bit eller 64-bit, og om brugeren har administratorrettigheder eller ej.

Den næste fase trussel er Gelsenicine. Dets hovedopgave er at hente et hovedmodul ved navn Gelsevirine og derefter udføre det. Læssemaskinens nøjagtige opførsel bestemmes ud fra flere faktorer. Hvis offeret har administratorrettigheder, vil Gelsenicine slippe den beskadigede DLL i næste trin malware under C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. Uden de nødvendige privilegier vil loader i stedet slippe en chrome_elf.dll i CommonAppData / Google / Chrome / Application / Library / location.

Gelsevirine er det vigtigste plugin til Gelsemium-angrebet. Det bruger en kompleks opsætning i sin kommunikation med Command-and-Control (C2, C&C) serveren. En bestemt integreret DLL fungerer som en mand-i-midten, når det kommer til at etablere kontakt. Derudover har en konfiguration til opgave at håndtere de forskellige protokoller - tcp, udp, http og https. Infosec-forskere har observeret, at Gelsevirine henter forskellige plug-ins, herunder et kompressions-dekompressionsmodul til C & C-kommunikation, et plug-to til at manipulere filsystemet og en, der letter injektion af DLL'er i udvalgte processer.

Yderligere Gelsemium-forbindelser

Forskere formåede at afdække visse forbindelser mellem Gelsemium APT-gruppen og angreb på forsyningskæden mod BigNox. Hackerne kompromitterede opdateringsmekanismen for NoxPlayer, en Android-emulator til pc'er og Mac'er.

OwlProxy er et beskadiget modul, der udviser en vis adfærd, der også er blevet observeret i Gelsemium malware-værktøjer. Mere specifikt bruger truslerne lignende metoder til at teste Windows-versionen på det kompromitterede system. En anden malware bagdør ved navn Chrommme har ikke de samme åbenlyse forbindelser, men visse indikatorer peger mod et link med Gelsemium. Når alt kommer til alt, bruger både Chrommme og Gelseverine den samme C & C-server som en af de servere, der er brugt af truslerne. Desuden blev en prøve af Chrommme opdaget på et system, der også var målrettet mod Gelsemium.