Gelsemium APT

Το Gelsemium είναι μια ομάδα APT (Advanced Persistence Threat) που δραστηριοποιείται τουλάχιστον από το 2014. Οι χάκερ έχουν πραγματοποιήσει πολλαπλές εκστρατείες επίθεσης εναντίον στόχων που βρίσκονται κυρίως στην Ανατολική Ασία και τις περιοχές της Μέσης Ανατολής. Ανάμεσα στα πιθανά θύματά τους είναι οντότητες από ένα ευρύ φάσμα διαφορετικών κλάδων. Μέχρι στιγμής, τα θύματα του Gelsemium APT περιλαμβάνουν κυβερνητικές υπηρεσίες, κατασκευαστές ηλεκτρονικών, θρησκευτικές οργανώσεις, καθώς και πολλά πανεπιστήμια.

Εργαλειοθήκη κακόβουλου λογισμικού

Η ομάδα Gelsemium APT δημιουργεί μια αλυσίδα επίθεσης πολλαπλών σταδίων για τις δραστηριότητές της. Μετά την παραβίαση του στοχευμένου συστήματος, οι χάκερ αναπτύσσουν ένα κακόβουλο λογισμικό dropper που ονομάζεται Gelsemine. Το dropper είναι ασυνήθιστα μεγάλο για αυτόν τον τύπο κακόβουλου λογισμικού, αλλά περιλαμβάνει οκτώ ενσωματωμένα εκτελέσιμα. Το μεγάλο μέγεθος χρησιμοποιείται από την Gelsemine για να φιλοξενήσει έναν εξελιγμένο μηχανισμό που επιτρέπει στον παράγοντα απειλής να τροποποιήσει τη συμπεριφορά της απειλής. Το Gelsemium APT μπορεί να προσαρμόσει το σταγονόμετρο σύμφωνα με την αρχιτεκτονική του παραβιασμένου θύματος - είτε 23-bit είτε 64-bit, και εάν ο χρήστης έχει δικαιώματα διαχειριστή ή όχι.

Η απειλή στο επόμενο στάδιο είναι η τζελσενικίνη. Το κύριο καθήκον του είναι να ανακτήσει μια κύρια μονάδα που ονομάζεται Gelsevirine και στη συνέχεια να την εκτελέσει. Η ακριβής συμπεριφορά του φορτωτή καθορίζεται με βάση διάφορους παράγοντες. Εάν το θύμα έχει δικαιώματα διαχειριστή, το Gelsenicine θα απορρίψει το κατεστραμμένο DLL του κακόβουλου λογισμικού επόμενου σταδίου στο C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Χωρίς τα απαραίτητα δικαιώματα, το πρόγραμμα φόρτωσης θα ρίξει ένα chrome_elf.dll στην τοποθεσία CommonAppData/Google/Chrome/Application/Library/.

Το Gelsevirine είναι το κύριο πρόσθετο της επίθεσης Gelsemium. Χρησιμοποιεί μια πολύπλοκη εγκατάσταση στην επικοινωνία του με τον διακομιστή Command-and-Control (C2, C&C). Ένα συγκεκριμένο ενσωματωμένο DLL λειτουργεί ως άνθρωπος στη μέση όταν πρόκειται για τη δημιουργία επαφής. Επιπλέον, μια ρύθμιση παραμέτρων είναι επιφορτισμένη με το χειρισμό των διαφορετικών πρωτοκόλλων - tcp, udp, http και https. Οι ερευνητές της Infosec παρατήρησαν ότι το Gelsevirine ανακτά διαφορετικά πρόσθετα, συμπεριλαμβανομένης μιας μονάδας συμπίεσης-αποσυμπίεσης για επικοινωνία C&C, ένα βύσμα για χειρισμό του συστήματος αρχείων και ένα που διευκολύνει την έγχυση DLL σε επιλεγμένες διεργασίες.

Πρόσθετες συνδέσεις gelsemium

Οι ερευνητές κατάφεραν να αποκαλύψουν ορισμένους δεσμούς μεταξύ της ομάδας Gelsemium APT και της επίθεσης της εφοδιαστικής αλυσίδας κατά του BigNox. Οι χάκερ παραβίασαν τον μηχανισμό ενημέρωσης του NoxPlayer, ενός εξομοιωτή Android για υπολογιστές και Mac.

Το OwlProxy είναι μια κατεστραμμένη μονάδα που εμφανίζει συγκεκριμένη συμπεριφορά που έχει επίσης παρατηρηθεί στα εργαλεία κακόβουλου λογισμικού Gelsemium. Πιο συγκεκριμένα, οι απειλές χρησιμοποιούν παρόμοιες μεθόδους για να δοκιμάσουν την έκδοση των Windows στο παραβιασμένο σύστημα. Μια άλλη κερκόπορτα κακόβουλου λογισμικού που ονομάζεται Chrommme δεν έχει τις ίδιες προφανείς συνδέσεις, αλλά ορισμένες ενδείξεις δείχνουν μια σύνδεση με το Gelsemium. Εξάλλου, τόσο ο Chrommme όσο και ο Gelseverine χρησιμοποιούν τον ίδιο διακομιστή C&C με έναν από τους διακομιστές που χρησιμοποιούνται από τις απειλές. Επιπλέον, ένα δείγμα Chrommme ανακαλύφθηκε σε ένα σύστημα που είχε στόχο και το Gelsemium.