Gelsemium APT

Gelsemium je APT (Advanced Persistence Threat) grupa koja je aktivna od najmanje 2014. Hakeri su izveli više kampanja napada na mete smještene pretežno u istočnoj Aziji i regijama Bliskog istoka. Među njihovim potencijalnim žrtvama su subjekti iz širokog spektra različitih vertikala. Do sada su žrtve Gelsemium APT-a vladine agencije, proizvođači elektroničkih uređaja, vjerske organizacije, kao i nekoliko sveučilišta.

Alati za zlonamjerni softver

Grupa Gelsemium APT uspostavlja višefazni lanac napada za svoje operacije. Nakon što su provalili ciljani sustav, hakeri postavljaju dropper zlonamjerni softver pod nazivom Gelsemine. Kapalica je neobično velika za ovu vrstu zlonamjernog softvera, ali uključuje osam ugrađenih izvršnih datoteka. Veliku veličinu koristi Gelsemine za smještaj sofisticiranog mehanizma koji omogućuje akteru prijetnje da modificira ponašanje prijetnje. Gelsemium APT može prilagoditi kapaljku prema arhitekturi ugrožene žrtve - 23-bitnoj ili 64-bitnoj, te ima li korisnik administratorske privilegije ili ne.

Sljedeća prijetnja je gelsenicin. Njegov glavni zadatak je dohvatiti glavni modul pod nazivom Gelsevirine i zatim ga izvršiti. Točno ponašanje utovarivača određuje se na temelju nekoliko čimbenika. Ako žrtva ima administratorske privilegije, Gelsenicine će ispustiti oštećeni DLL zlonamjernog softvera sljedeće faze pod C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Bez potrebnih privilegija, učitavač će umjesto toga ispustiti chrome_elf.dll na lokaciju CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine je glavni dodatak Gelsemium napada. Koristi složene postavke u svojoj komunikaciji s Command-and-Control (C2, C&C) poslužiteljem. Određeni ugrađeni DLL djeluje kao čovjek u sredini kada je u pitanju uspostavljanje kontakta. Osim toga, konfiguracija ima zadatak rukovanje različitim protokolima - tcp, udp, http i https. Infosec istraživači su primijetili kako Gelsevirine dohvaća različite dodatke uključujući modul kompresije-dekompresije za C&C komunikaciju, dodatak za manipuliranje datotečnim sustavom i onaj koji olakšava ubacivanje DLL-ova u odabrane procese.

Dodatne Gelsemium veze

Istraživači su uspjeli otkriti određene veze između Gelsemium APT grupe i napada lanca opskrbe protiv BigNoxa. Hakeri su ugrozili mehanizam ažuriranja NoxPlayera, Android emulatora za PC i Mac.

OwlProxy je oštećeni modul koji pokazuje određeno ponašanje koje je također uočeno u alatima za zlonamjerni softver Gelsemium. Točnije, prijetnje koriste slične metode za testiranje verzije sustava Windows na kompromitiranom sustavu. Drugi backdoor zlonamjernog softvera pod nazivom Chrommme nema iste očite veze, ali određeni pokazatelji upućuju na vezu s Gelsemiumom. Uostalom, i Chrommme i Gelseverine koriste isti C&C poslužitelj kao jedan od poslužitelja koji koriste prijetnje. Nadalje, uzorak Chrommmea otkriven je na sustavu koji je također bio na meti Gelsemiuma.