ژلسمیوم APT

Gelsemium یک گروه APT (Advanced Persistence Threat) است که حداقل از سال 2014 فعال بوده است. هکرها کمپین های حملات متعددی را علیه اهداف واقع در شرق آسیا و مناطق عمدتاً خاورمیانه انجام داده اند. در میان قربانیان بالقوه آنها نهادهایی از طیف وسیعی از عمودهای مختلف وجود دارند. تا کنون قربانیان Gelsemium APT شامل سازمان های دولتی، تولیدکنندگان الکترونیک، سازمان های مذهبی و همچنین چندین دانشگاه هستند.

جعبه ابزار بدافزار

گروه Gelsemium APT یک زنجیره حمله چند مرحله ای را برای عملیات خود ایجاد می کند. پس از نفوذ به سیستم هدف، هکرها بدافزاری به نام Gelsmine را مستقر می کنند. قطره چکان برای این نوع بدافزار به طور غیرعادی بزرگ است اما شامل هشت فایل اجرایی تعبیه شده است. سایز بزرگ توسط Gelsmine برای تطبیق مکانیزم پیچیده ای استفاده می شود که به عامل تهدید اجازه می دهد تا رفتار تهدید را اصلاح کند. Gelsemium APT می تواند قطره چکان را با توجه به معماری قربانی در معرض خطر - 23 بیتی یا 64 بیتی، و اینکه آیا کاربر دارای امتیازات مدیر است یا خیر، تنظیم کند.

تهدید مرحله بعدی ژلسنیسین است. وظیفه اصلی آن بازیابی یک ماژول اصلی به نام Gelsevirine و سپس اجرای آن است. رفتار دقیق لودر بر اساس عوامل متعددی تعیین می شود. اگر قربانی دارای امتیازات مدیریت باشد، Gelsenicine DLL خراب بدافزار مرحله بعدی را در C:\Windows\System32\spool\prtprocs\x64\winprint.dll حذف می‌کند. بدون امتیازات لازم، لودر در عوض یک chrome_elf.dll را در محل CommonAppData/Google/Chrome/Application/Library/ می‌اندازد.

Gelsevirine پلاگین اصلی حمله Gelsemium است. در ارتباط خود با سرور Command-and-Control (C2, C&C) از تنظیمات پیچیده ای استفاده می کند. یک DLL تعبیه شده خاص در هنگام برقراری تماس به عنوان یک مرد در وسط عمل می کند. علاوه بر این، یک پیکربندی وظیفه مدیریت پروتکل های مختلف - tcp، udp، http و https را بر عهده دارد. محققان Infosec مشاهده کرده‌اند که Gelsevirine پلاگین‌های مختلفی را بازیابی می‌کند، از جمله یک ماژول فشرده‌سازی-فشرده‌سازی برای ارتباطات C&C، یک پلاگین برای دستکاری سیستم فایل و یکی که تزریق DLL را به فرآیندهای انتخابی تسهیل می‌کند.

اتصالات ژلسمیوم اضافی

محققان موفق شدند پیوندهای خاصی را بین گروه Gelsemium APT و حمله زنجیره تامین علیه BigNox کشف کنند. هکرها مکانیسم به‌روزرسانی NoxPlayer، شبیه‌ساز اندروید برای رایانه‌های شخصی و مک را به خطر انداختند.

OwlProxy یک ماژول خراب است که رفتار خاصی را نشان می دهد که در ابزارهای بدافزار Gelsemium نیز مشاهده شده است. به طور خاص، تهدیدها از روش‌های مشابهی برای آزمایش نسخه ویندوز در سیستم آسیب‌دیده استفاده می‌کنند. درپشت بدافزار دیگری به نام Chrommme همان اتصالات واضح را ندارد اما شاخص‌های خاصی به سمت پیوند با Gelsemium اشاره می‌کنند. بالاخره هر دو Chrommme و Gelseverine از سرور C&C یکسانی به عنوان یکی از سرورهای استفاده شده توسط تهدیدها استفاده می کنند. علاوه بر این، نمونه ای از Chrommme بر روی سیستمی که توسط Gelsemium نیز هدف قرار گرفته بود، کشف شد.