Gelsemium APT

A Gelsemium egy APT (Advanced Persistence Threat) csoport, amely legalább 2014 óta működik. A hackerek több támadási kampányt hajtottak végre Kelet-Ázsiában és túlnyomórészt a közel-keleti régiókban található célpontok ellen. Potenciális áldozataik között vannak a különböző vertikumok széles skálájából származó entitások. A Gelsemium APT áldozatai eddig kormányzati szervek, elektronikai gyártók, vallási szervezetek, valamint több egyetem is.

Malware Toolkit

A Gelsemium APT csoport többlépcsős támadási láncot hoz létre műveleteihez. A megcélzott rendszer feltörése után a hackerek egy Gelsemine nevű dropper kártevőt telepítenek. A dropper szokatlanul nagy ehhez a rosszindulatú programtípushoz, de nyolc beágyazott végrehajtható fájlt tartalmaz. A nagy méretet a Gelsemine egy olyan kifinomult mechanizmus befogadására használja, amely lehetővé teszi a fenyegetés szereplőjének, hogy módosítsa a fenyegetés viselkedését. A Gelsemium APT be tudja állítani a droppert a feltört áldozat architektúrája szerint – akár 23 bites, akár 64 bites –, és attól függően, hogy a felhasználó rendelkezik-e rendszergazdai jogosultságokkal vagy sem.

A következő fokozatú fenyegetés a Gelsenicine. Fő feladata egy Gelsevirine nevű fő modul lekérése, majd végrehajtása. A rakodó pontos viselkedését több tényező határozza meg. Ha az áldozat rendszergazdai jogosultságokkal rendelkezik, a Gelsenicine eldobja a következő fázisú rosszindulatú program sérült DLL-jét a C:\Windows\System32\spool\prtprocs\x64\winprint.dll alatt. A szükséges jogosultságok nélkül a betöltő ehelyett eldob egy chrome_elf.dll fájlt a CommonAppData/Google/Chrome/Application/Library/ helyre.

A Gelsevirine a Gelsemium támadás fő bővítménye. Összetett beállítást használ a Command-and-Control (C2, C&C) szerverrel való kommunikáció során. Egy adott beágyazott DLL a kapcsolatteremtés során a középső emberként működik. Ezenkívül egy konfiguráció feladata a különböző protokollok – tcp, udp, http és https – kezelése. Az Infosec kutatói megfigyelték, hogy a Gelsevirine különböző beépülő modulokat kér le, köztük egy tömörítési-dekompressziós modult a C&C kommunikációhoz, egy plug-int a fájlrendszer manipulálásához, valamint egy olyan modult, amely megkönnyíti a DLL-ek beillesztését bizonyos folyamatokba.

További Gelsemium csatlakozások

A kutatóknak sikerült feltárniuk bizonyos kapcsolatokat a Gelsemium APT csoport és a BigNox elleni ellátási lánc elleni támadás között. A hackerek veszélyeztették a NoxPlayer, egy PC-re és Mac-re szánt Android-emulátor frissítési mechanizmusát.

Az OwlProxy egy sérült modul, amely bizonyos viselkedést mutat, amelyet a Gelsemium rosszindulatú programjaiban is megfigyeltek. Pontosabban, a fenyegetések hasonló módszerekkel tesztelik a Windows-verziót a feltört rendszeren. Egy másik, Chrommme nevű rosszindulatú háttérajtónak nincsenek ugyanilyen nyilvánvaló kapcsolatai, de bizonyos mutatók a Gelsemiummal való kapcsolat felé mutatnak. Végül is mind a Chrommme, mind a Gelseverine ugyanazt a C&C szervert használja, mint a fenyegetések által használt kiszolgálók egyikét. Ezenkívül egy Chrommme-mintát fedeztek fel egy olyan rendszeren, amelyet a Gelsemium is megcélzott.