Gelsemium APT

Gelsemium yra APT (Advanced Persistence Threat) grupė, veikianti mažiausiai nuo 2014 m. Įsilaužėliai vykdė daugybę atakų kampanijų prieš taikinius, esančius daugiausia Rytų Azijoje ir Artimųjų Rytų regionuose. Tarp galimų jų aukų yra subjektai iš įvairių vertikalių. Iki šiol „Gelsemium APT“ aukos yra vyriausybinės agentūros, elektronikos gamintojai, religinės organizacijos ir keli universitetai.

Kenkėjiškų programų įrankių rinkinys

Gelsemium APT grupė savo operacijoms sukuria kelių etapų atakų grandinę. Pažeidę tikslinę sistemą, įsilaužėliai diegia kenkėjišką programą, pavadintą Gelsemine. Lašintuvas yra neįprastai didelis šiam kenkėjiškų programų tipui, tačiau jame yra aštuoni įterptieji vykdomieji failai. Didelis dydis naudojamas Gelsemine, kad tilptų sudėtingas mechanizmas, leidžiantis grėsmės veikėjui keisti grėsmės elgesį. Gelsemium APT gali reguliuoti lašintuvą pagal pažeistos aukos architektūrą – 23 bitų arba 64 bitų ir ar vartotojas turi administratoriaus teises, ar ne.

Kitos pakopos grėsmė yra gelsenicinas. Pagrindinė jo užduotis yra nuskaityti pagrindinį modulį, pavadintą Gelsevirine, ir tada jį vykdyti. Tikslus krautuvo elgesys nustatomas pagal kelis veiksnius. Jei auka turi administratoriaus teises, Gelsenicinas pašalins sugadintą naujos pakopos kenkėjiškos programos DLL aplanke C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Neturėdamas reikiamų teisių, įkroviklis numes chrome_elf.dll į CommonAppData/Google/Chrome/Application/Library/ vietą.

Gelsevirine yra pagrindinis Gelsemium atakos papildinys. Jis naudoja sudėtingą sąranką bendraudamas su komandų ir valdymo (C2, C&C) serveriu. Konkretus įterptasis DLL veikia kaip žmogus viduryje, kai reikia užmegzti ryšį. Be to, konfigūracijai pavesta tvarkyti skirtingus protokolus – tcp, udp, http ir https. „Infosec“ tyrėjai pastebėjo, kad „Gelsevirine“ nuskaito įvairius papildinius, įskaitant suspaudimo-dekompresijos modulį, skirtą C&C komunikacijai, kištuką, skirtą manipuliuoti failų sistema, ir tą, kuris palengvina DLL įterpimą į pasirinktus procesus.

Papildomos Gelsemium jungtys

Tyrėjai sugebėjo atskleisti tam tikrus ryšius tarp Gelsemium APT grupės ir tiekimo grandinės atakos prieš BigNox. Įsilaužėliai sukompromitavo „NoxPlayer“, „Android“ emuliatoriaus, skirto asmeniniams ir „Mac“ kompiuteriams, atnaujinimo mechanizmą.

„OwlProxy“ yra sugadintas modulis, pasižymintis tam tikru elgesiu, kuris taip pat buvo pastebėtas naudojant „Gelsemium“ kenkėjiškų programų įrankius. Tiksliau, grėsmės naudoja panašius metodus, kad išbandytų „Windows“ versiją pažeistoje sistemoje. Kitos kenkėjiškos programos, pavadintos Chrommme, neturi tų pačių akivaizdžių ryšių, tačiau tam tikri rodikliai rodo ryšį su Gelsemium. Galų gale ir Chrommme, ir Gelseverine naudoja tą patį C&C serverį kaip vieną iš serverių, naudojamų grėsmėms. Be to, sistemoje, kuri taip pat buvo skirta Gelsemium, buvo aptiktas Chrommme pavyzdys.