Gelsemium APT
Gelsemium היא קבוצת APT (Advanced Persistence Threat) הפעילה מאז 2014 לפחות. ההאקרים ביצעו מסעות תקיפה מרובים נגד מטרות הממוקמות במזרח אסיה ובאזורי המזרח התיכון בעיקר. בין הקורבנות הפוטנציאליים שלהם יש ישויות ממגוון רחב של ענפים שונים. עד כה הקורבנות של Gelsemium APT כוללים סוכנויות ממשלתיות, יצרני אלקטרוניקה, ארגונים דתיים וכן מספר אוניברסיטאות.
ערכת כלי תוכנה זדונית
קבוצת Gelsemium APT מקימה שרשרת תקיפה רב-שלבית לפעילותם. לאחר הפרת המערכת הממוקדת, ההאקרים פורסים תוכנה זדונית של טפטפת בשם Gelsemine. הטפטפת גדולה בצורה יוצאת דופן עבור סוג תוכנה זדונית זה, אך היא כוללת שמונה קובצי הפעלה משובצים. הגודל הגדול משמש את גלשמין כדי להתאים למנגנון מתוחכם המאפשר לשחקן האיום לשנות את התנהגות האיום. ה-Gelsemium APT יכול להתאים את הטפטפת לפי הארכיטקטורה של הקורבן שנפגע - או 23-bit או 64-bit, והאם למשתמש יש הרשאות מנהל או לא.
האיום בשלב הבא הוא Gelsenicine. המשימה העיקרית שלו היא לאחזר מודול ראשי בשם Gelsevirine ולאחר מכן לבצע אותו. ההתנהגות המדויקת של המעמיס נקבעת על סמך מספר גורמים. אם לקורבן יש הרשאות אדמין, Gelsenicine תסיר את ה-DLL הפגום של התוכנה הזדונית בשלב הבא תחת C:\Windows\System32\spool\prtprocs\x64\winprint.dll. ללא ההרשאות הדרושות, הטוען יפיל במקום זאת chrome_elf.dll במיקום CommonAppData/Google/Chrome/Application/Library/.
Gelsevirine הוא התוסף הראשי של מתקפת Gelsemium. הוא משתמש בהגדרה מורכבת בתקשורת שלו עם שרת הפקודה והבקרה (C2, C&C). DLL מוטבע ספציפי פועל כאדם-באמצע בכל הנוגע ליצירת קשר. בנוסף, תצורה מופקדת לטפל בפרוטוקולים השונים - tcp, udp, http ו-https. חוקרי Infosec צפו ב-Gelsevirine מאחזר תוספים שונים כולל מודול דחיסה-פירוק לתקשורת C&C, פלאג לתמרן מערכת הקבצים וכזה שמקל על הזרקת DLL לתהליכים נבחרים.
חיבורי גלסמיום נוספים
חוקרים הצליחו לחשוף קשרים מסוימים בין קבוצת Gelsemium APT לבין מתקפת שרשרת האספקה נגד BigNox. ההאקרים התפשרו על מנגנון העדכון של NoxPlayer, אמולטור אנדרואיד למחשבי PC ומק.
OwlProxy הוא מודול פגום שמפגין התנהגות מסוימת שנצפתה גם בכלי התוכנה הזדונית של Gelsemium. ליתר דיוק, האיומים משתמשים בשיטות דומות כדי לבדוק את גרסת Windows על המערכת שנפרצה. לדלת אחורית נוספת של תוכנה זדונית בשם Chrommme אין את אותם קשרים ברורים, אבל אינדיקטורים מסוימים מצביעים על קישור עם Gelsemium. אחרי הכל גם Chrommme וגם Gelseverine משתמשים באותו שרת C&C בתור אחד השרתים המועסקים על ידי האיומים. יתרה מזאת, דגימה של Chrommme התגלתה במערכת שגם היא הייתה ממוקדת על ידי Gelsemium.
