겔세 비린

Gelsevirinie는 Gelsemicine이라는 중간 단계 로더에 의해 손상된 기계에 전달됩니다. Gelsevirinie는 Gelsemium APT (Advanced Persistent Threat) 그룹의 공격에 배포 된 마지막 단계의 악성 코드 모듈입니다. 로더는 두 가지 버전으로 존재하며 실행되는 버전은 감염된 사용자가 관리 권한을 가지고 있는지 여부에 따라 다릅니다. 피해자에게 필요한 권한이 있으면 Gelsevirine이 C : \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll 아래에 드롭되고, 그렇지 않으면 CommonAppData / Google / Chrome /에 chrome_elf.dll이라는 DLL로 제공됩니다. 응용 프로그램 / 라이브러리 / 위치.

대상 시스템에 배치되면 Gelsevirine은 복잡한 설정을 시작하여 명령 및 제어 서버에 도달하고 통신을 유지합니다. 첫째, 중간자 역할을 수행하기 위해 포함 된 DLL에 의존합니다. 또한 별도의 구성은 tcp, udp, http 및 https와 같은 다양한 프로토콜 유형을 처리합니다.

Infosec 연구원은 Gelsevirine이 가져 와서 시작하는 여러 플러그인을 감지 할 수 있었으며, 각각은 서로 다른 기능을 가지고 있습니다. FxCoder 플러그인은 C & C 통신을 용이하게하는 압축 풀기 도구입니다. 다음으로 손상된 장치의 파일 시스템을 조작 할 수있는 유틸리티 플러그인이 있습니다. 마지막으로 관찰 된 플러그인은 선택한 프로세스에 DLL을 삽입 할 수있는 도구 인 Inter입니다.