Gelsemium APT

Gelsemium è un gruppo APT (Advanced Persistence Threat) attivo almeno dal 2014. Gli hacker hanno effettuato più campagne di attacco contro obiettivi situati prevalentemente nelle regioni dell'Asia orientale e del Medio Oriente. Tra le loro potenziali vittime ci sono entità di un'ampia gamma di diversi verticali. Finora le vittime di Gelsemium APT includono agenzie governative, produttori di elettronica, organizzazioni religiose e diverse università.

Toolkit di malware

Il gruppo Gelsemium APT stabilisce una catena di attacco a più fasi per le proprie operazioni. Dopo aver violato il sistema preso di mira, gli hacker distribuiscono un malware dropper chiamato Gelsemine. Il contagocce è insolitamente grande per questo tipo di malware, ma include otto eseguibili incorporati. La grande dimensione viene utilizzata da Gelsemine per ospitare un meccanismo sofisticato che consente all'attore della minaccia di modificare il comportamento della minaccia. L'APT Gelsemium può regolare il contagocce in base all'architettura della vittima compromessa, a 23 o 64 bit e indipendentemente dal fatto che l'utente disponga dei privilegi di amministratore o meno.

La minaccia della fase successiva è Gelsenicine. Il suo compito principale è recuperare un modulo principale chiamato Gelsevirine e quindi eseguirlo. Il comportamento esatto del caricatore è determinato in base a diversi fattori. Se la vittima ha privilegi di amministratore, Gelsenicine rilascerà la DLL danneggiata del malware di fase successiva in C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Senza i privilegi necessari, il caricatore rilascerà invece un chrome_elf.dll nella posizione CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine è il plugin principale dell'attacco Gelsemium. Utilizza una configurazione complessa nella sua comunicazione con il server Command-and-Control (C2, C&C). Una specifica DLL incorporata funge da man-in-the-middle quando si tratta di stabilire un contatto. Inoltre, una configurazione ha il compito di gestire i diversi protocolli: tcp, udp, http e https. I ricercatori di Infosec hanno osservato che Gelsevirine recupera diversi plug-in tra cui un modulo di compressione-decompressione per la comunicazione C&C, un plug-in per manipolare il file system e uno che facilita l'iniezione di DLL in determinati processi.

Connessioni Gelsemium aggiuntive

I ricercatori sono riusciti a scoprire alcuni collegamenti tra il gruppo Gelsemium APT e l'attacco alla catena di approvvigionamento contro BigNox. Gli hacker hanno compromesso il meccanismo di aggiornamento di NoxPlayer, un emulatore Android per PC e Mac.

OwlProxy è un modulo danneggiato che mostra un certo comportamento che è stato osservato anche negli strumenti malware Gelsemium. Più specificamente, le minacce utilizzano metodi simili per testare la versione di Windows sul sistema compromesso. Un'altra backdoor di malware denominata Chrommme non ha le stesse ovvie connessioni, ma alcuni indicatori indicano un collegamento con Gelsemium. Dopotutto, sia Chrommme che Gelseverine utilizzano lo stesso server C&C come uno dei server utilizzati dalle minacce. Inoltre, è stato scoperto un campione di Chrommme su un sistema anch'esso preso di mira da Gelsemium.

Tendenza

I più visti

Caricamento in corso...