Gelsemium APT

Gelsemium on APT (Advanced Persistence Threat) rühmitus, mis on tegutsenud vähemalt 2014. aastast. Häkkerid on korraldanud mitmeid rünnakukampaaniaid sihtmärkide vastu, mis asuvad peamiselt Ida-Aasias ja Lähis-Ida piirkondades. Nende potentsiaalsete ohvrite hulgas on üksusi paljudest erinevatest vertikaalidest. Seni on Gelsemium APT ohvrite seas valitsusasutusi, elektroonikatootjaid, usuorganisatsioone ja ka mitmeid ülikoole.

Pahavara tööriistakomplekt

Gelsemium APT grupp loob oma operatsioonide jaoks mitmeastmelise rünnakuahela. Pärast sihitud süsteemi rikkumist juurutavad häkkerid tilguti pahavara nimega Gelsemine. Tilguti on selle pahavaratüübi jaoks ebatavaliselt suur, kuid sisaldab kaheksat manustatud käivitatavat faili. Gelsemine kasutab suurt suurust keeruka mehhanismi mahutamiseks, mis võimaldab ohus osalejal ohu käitumist muuta. Gelsemium APT saab tilgutit reguleerida vastavalt ohustatud ohvri arhitektuurile – kas 23-bitine või 64-bitine ning sellele, kas kasutajal on administraatoriõigused või mitte.

Järgmise etapi oht on gelsenitsiin. Selle põhiülesanne on hankida põhimoodul nimega Gelsevirine ja seejärel käivitada. Laaduri täpne käitumine määratakse mitme teguri põhjal. Kui ohvril on administraatoriõigused, eemaldab Gelsenicine järgmise etapi pahavara rikutud DLL-i kausta C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Ilma vajalike õigusteta viskab laadija selle asemel faili chrome_elf.dll asukohta CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine on Gelsemiumi rünnaku peamine pistikprogramm. See kasutab Command-and-Control (C2, C&C) serveriga suhtlemisel keerukat seadistust. Konkreetne manustatud DLL toimib kontakti loomisel vahemehena. Lisaks on konfiguratsioonil ülesandeks käsitleda erinevaid protokolle – tcp, udp, http ja https. Infoseci teadlased on täheldanud, et Gelsevirine toodab erinevaid pistikprogramme, sealhulgas tihendus-dekompressioonimoodulit C&C-suhtluseks, failisüsteemiga manipuleerimiseks mõeldud pistikprogrammi ja seda, mis hõlbustab DLL-ide sisestamist valitud protsessidesse.

Täiendavad Gelsemiumi ühendused

Teadlastel õnnestus paljastada teatud seosed Gelsemium APT grupi ja BigNoxi vastase tarneahela rünnaku vahel. Häkkerid rikkusid arvutite ja Mac-arvutite jaoks mõeldud Androidi emulaatori NoxPlayeri värskendusmehhanismi.

OwlProxy on rikutud moodul, millel on teatud käitumine, mida on täheldatud ka Gelsemiumi pahavaratööriistade puhul. Täpsemalt kasutavad ohud sarnaseid meetodeid Windowsi versiooni testimiseks ohustatud süsteemis. Teisel pahavara tagauksel nimega Chrommme ei ole samu ilmseid seoseid, kuid teatud näitajad viitavad seosele Gelsemiumiga. Lõppude lõpuks kasutavad nii Chrommme kui ka Gelseverine sama C&C-serverit ühena ohtude poolt kasutatavatest serveritest. Lisaks avastati Chrommme proov süsteemist, mille sihtmärk oli ka Gelsemium.