Gelsemium APT

Gelsemium은 적어도 2014 년부터 활동해온 APT (Advanced Persistence Threat) 그룹입니다. 해커들은 주로 동아시아 및 중동 지역에 위치한 표적에 대해 여러 공격 캠페인을 수행했습니다. 잠재적 희생자 중에는 다양한 업종의 독립 체가 있습니다. 지금까지 Gelsemium APT의 피해자에는 정부 기관, 전자 제조업체, 종교 단체 및 여러 대학이 포함됩니다.

맬웨어 툴킷

Gelsemium APT 그룹은 운영을위한 다단계 공격 체인을 구축합니다. 표적 시스템을 침해 한 후 해커는 Gelsemine이라는 드롭퍼 악성 코드를 배포합니다. 드로퍼는이 악성 코드 유형의 경우 비정상적으로 크지 만 8 개의 임베디드 실행 파일을 포함합니다. 큰 크기는 Gelsemine에서 위협 행위자가 위협의 동작을 수정할 수있는 정교한 메커니즘을 수용하는 데 사용됩니다. Gelsemium APT는 손상된 피해자의 아키텍처 (23 비트 또는 64 비트) 및 사용자에게 관리자 권한이 있는지 여부에 따라 드롭퍼를 조정할 수 있습니다.

다음 단계의 위협은 Gelsenicine입니다. 주된 작업은 Gelsevirine 이라는 주 모듈을 검색 한 다음 실행하는 것입니다. 로더의 정확한 동작은 여러 요인에 따라 결정됩니다. 피해자에게 관리자 권한이있는 경우 Gelsenicine은 C : \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll에 다음 단계 악성 코드의 손상된 DLL을 드롭합니다. 필요한 권한이 없으면 로더는 대신 CommonAppData / Google / Chrome / Application / Library / 위치에 chrome_elf.dll을 드롭합니다.

Gelsevirine은 Gelsemium 공격의 주요 플러그인입니다. Command-and-Control (C2, C & C) 서버와의 통신에서 복잡한 설정을 사용합니다. 특정 임베디드 DLL은 연락처를 설정할 때 중간자 역할을합니다. 또한 구성은 tcp, udp, http 및 https와 같은 다양한 프로토콜을 처리하는 작업을 수행합니다. Infosec 연구원들은 Gelsevirine이 C & C 통신을위한 압축-압축 해제 모듈, 파일 시스템을 조작하기위한 플러그, DLL을 선택 프로세스에 쉽게 주입 할 수있는 플러그인을 포함하여 다양한 플러그인을 검색하는 것을 관찰했습니다.

추가 Gelsemium 연결

연구원들은 Gelsemium APT 그룹과 BigNox에 대한 공급망 공격 사이의 특정 연관성을 밝혀 냈습니다. 해커는 PC 및 Mac 용 Android 에뮬레이터 인 NoxPlayer의 업데이트 메커니즘을 손상 시켰습니다.

OwlProxy는 Gelsemium 맬웨어 도구에서도 관찰 된 특정 동작을 나타내는 손상된 모듈입니다. 보다 구체적으로, 위협은 유사한 방법을 사용하여 손상된 시스템에서 Windows 버전을 테스트합니다. Chrommme이라는 또 다른 맬웨어 백도어는 명백한 연결을 가지고 있지 않지만 특정 지표는 Gelsemium과의 연결을 가리 킵니다. 결국 Chrommme과 Gelseverine은 위협에 사용되는 서버 중 하나와 동일한 C & C 서버를 사용합니다. 또한 Gelsemium이 목표로 삼은 시스템에서 Chrommme 샘플이 발견되었습니다.