Gelsemium APT

Gelsemium एक APT (एडवांस पर्सिस्टेंस थ्रेट) समूह है जो कम से कम 2014 से सक्रिय है। हैकर्स ने मुख्य रूप से पूर्वी एशिया और मध्य पूर्व क्षेत्रों में स्थित लक्ष्यों के खिलाफ कई हमले अभियान चलाए हैं। उनके संभावित पीड़ितों में विभिन्न कार्यक्षेत्रों की एक विस्तृत श्रृंखला की इकाइयाँ हैं। अब तक Gelsemium APT के पीड़ितों में सरकारी एजेंसियां, इलेक्ट्रॉनिक निर्माता, धार्मिक संगठन और साथ ही कई विश्वविद्यालय शामिल हैं।

मैलवेयर टूलकिट

Gelsemium APT समूह अपने संचालन के लिए एक बहु-स्तरीय आक्रमण श्रृंखला स्थापित करता है। लक्षित प्रणाली को भंग करने के बाद, हैकर्स जेल्समाइन नामक एक ड्रॉपर मैलवेयर तैनात करते हैं। इस मैलवेयर प्रकार के लिए ड्रॉपर असामान्य रूप से बड़ा है लेकिन इसमें आठ एम्बेडेड निष्पादन योग्य शामिल हैं। बड़े आकार का उपयोग गेल्सेमिन द्वारा एक परिष्कृत तंत्र को समायोजित करने के लिए किया जाता है जो खतरे के अभिनेता को खतरे के व्यवहार को संशोधित करने की अनुमति देता है। जेल्सीमियम एपीटी ड्रॉपर को समझौता पीड़ित की संरचना के अनुसार समायोजित कर सकता है - या तो 23-बिट या 64-बिट, और उपयोगकर्ता के पास व्यवस्थापकीय विशेषाधिकार हैं या नहीं।

अगले चरण का खतरा गेल्सेनिकिन है। इसका मुख्य कार्य Gelsevirine नामक एक मुख्य मॉड्यूल को पुनः प्राप्त करना और फिर इसे निष्पादित करना है। लोडर का सटीक व्यवहार कई कारकों के आधार पर निर्धारित किया जाता है। यदि पीड़ित के पास व्यवस्थापकीय विशेषाधिकार हैं, तो Gelsenicine अगले चरण के मैलवेयर के दूषित DLL को C:\Windows\System32\spool\prtprocs\x64\winprint.dll के अंतर्गत छोड़ देगा। आवश्यक विशेषाधिकारों के बिना, लोडर इसके बजाय CommonAppData/Google/Chrome/एप्लिकेशन/लाइब्रेरी/ स्थान में chrome_elf.dll छोड़ देगा।

Gelsevirine, Gelsemium हमले का मुख्य प्लगइन है। यह कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ अपने संचार में एक जटिल सेटअप का उपयोग करता है। जब संपर्क स्थापित करने की बात आती है तो एक विशिष्ट एम्बेडेड डीएलएल एक आदमी के रूप में कार्य करता है। इसके अलावा, एक कॉन्फ़िगरेशन को विभिन्न प्रोटोकॉल - tcp, udp, http, और https को संभालने का काम सौंपा जाता है। इन्फोसेक के शोधकर्ताओं ने देखा है कि जेल्सविरिन सी एंड सी संचार के लिए एक संपीड़न-डीकंप्रेसन मॉड्यूल सहित विभिन्न प्लग-इन पुनर्प्राप्त करता है, एक प्लग-टू-फाइल सिस्टम में हेरफेर करता है और एक जो डीएलएल के इंजेक्शन को चुनिंदा प्रक्रियाओं में सुविधा प्रदान करता है।

अतिरिक्त जेल्सियम कनेक्शन

शोधकर्ताओं ने Gelsemium APT समूह और BigNox के खिलाफ आपूर्ति-श्रृंखला हमले के बीच कुछ संबंधों को उजागर करने में कामयाबी हासिल की। हैकर्स ने पीसी और मैक के लिए एंड्रॉइड एमुलेटर NoxPlayer के अपडेट मैकेनिज्म से समझौता किया।

OwlProxy एक दूषित मॉड्यूल है जो कुछ ऐसे व्यवहार को प्रदर्शित करता है जिसे Gelsemium मैलवेयर टूल में भी देखा गया है। अधिक विशेष रूप से, खतरे सिस्टम पर विंडोज संस्करण का परीक्षण करने के लिए समान तरीकों का उपयोग करते हैं। Chrommme नामक एक अन्य मैलवेयर पिछले दरवाजे में समान स्पष्ट कनेक्शन नहीं हैं, लेकिन कुछ संकेतक Gelsemium के साथ एक लिंक की ओर इशारा करते हैं। आखिरकार Chrommme और Gelseverine दोनों एक ही C&C सर्वर का उपयोग करते हैं, जो कि खतरों द्वारा नियोजित सर्वरों में से एक है। इसके अलावा, एक सिस्टम पर Chrommme का एक नमूना खोजा गया था जिसे Gelsemium द्वारा भी लक्षित किया गया था।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...