Gelsemium APT

Gelsemium on APT (Advanced Persistence Threat) -ryhmä, joka on ollut aktiivinen ainakin vuodesta 2014 lähtien. Hakkerit ovat toteuttaneet useita hyökkäyskampanjoita Itä-Aasiassa ja Lähi-idän alueilla sijaitsevia kohteita vastaan. Heidän mahdollisten uhriensa joukossa on kokonaisuuksia useilta eri aloilta. Toistaiseksi Gelsemium APT:n uhreja ovat olleet valtion virastot, elektroniikkavalmistajat, uskonnolliset järjestöt sekä useat yliopistot.

Malware Toolkit

Gelsemium APT -ryhmä perustaa toiminnalleen monivaiheisen hyökkäysketjun. Rikkoutuessaan kohteena olevaan järjestelmään hakkerit ottavat käyttöön Gelsemine-nimisen dropper-haittaohjelman. Tippa on epätavallisen suuri tälle haittaohjelmatyypille, mutta se sisältää kahdeksan sulautettua suoritettavaa tiedostoa. Gelsemine käyttää suurta kokoa mukautumaan kehittyneeseen mekanismiin, jonka avulla uhkatekijä voi muokata uhan käyttäytymistä. Gelsemium APT voi säätää dropperia vaarantuneen uhrin arkkitehtuurin mukaan - joko 23- tai 64-bittisen - ja sen mukaan, onko käyttäjällä järjestelmänvalvojan oikeuksia vai ei.

Seuraavan vaiheen uhka on gelsenisiini. Sen päätehtävä on hakea päämoduuli nimeltä Gelsevirine ja sitten suorittaa se. Kuormaimen tarkka käyttäytyminen määräytyy useiden tekijöiden perusteella. Jos uhrilla on järjestelmänvalvojan oikeudet, Gelsenicine pudottaa seuraavan vaiheen haittaohjelman vioittuneet DLL-tiedostot hakemistoon C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Ilman tarvittavia oikeuksia latausohjelma pudottaa sen sijaan chrome_elf.dll-tiedoston CommonAppData/Google/Chrome/Application/Library/ sijaintiin.

Gelsevirine on Gelsemium-hyökkäyksen päälaajennus. Se käyttää monimutkaista asetuksia viestiessään Command-and-Control (C2, C&C) -palvelimen kanssa. Tietty sulautettu DLL toimii miehenä, kun se tulee yhteyden muodostamiseen. Lisäksi kokoonpanon tehtävänä on käsitellä eri protokollia - tcp, udp, http ja https. Infosec-tutkijat ovat havainneet Gelsevirinen hakevan erilaisia laajennuksia, mukaan lukien pakkaus-dekompressiomoduuli C&C-viestintään, liitännäinen tiedostojärjestelmän käsittelyyn ja moduuli, joka helpottaa DLL-tiedostojen lisäämistä valittuihin prosesseihin.

Gelsemium-lisäliitännät

Tutkijat onnistuivat paljastamaan tiettyjä yhteyksiä Gelsemium APT -ryhmän ja BigNoxia vastaan tehdyn toimitusketjuhyökkäyksen välillä. Hakkerit vaaransivat NoxPlayerin, Android-emulaattorin PC- ja Mac-tietokoneille, päivitysmekanismin.

OwlProxy on vioittunut moduuli, joka käyttäytyy tietyllä tavalla, joka on havaittu myös Gelsemium-haittaohjelmatyökaluissa. Tarkemmin sanottuna uhat käyttävät samanlaisia menetelmiä Windows-version testaamiseen vaarantuneessa järjestelmässä. Toisella haittaohjelmien takaovella nimeltä Chrommme ei ole samoja ilmeisiä yhteyksiä, mutta tietyt indikaattorit viittaavat linkkiin Gelsemiumiin. Loppujen lopuksi sekä Chrommme että Gelseverine käyttävät samaa C&C-palvelinta yhtenä uhkien käyttämistä palvelimista. Lisäksi näyte Chrommmesta löydettiin järjestelmästä, joka oli myös Gelsemiumin kohteena.