Gelsemium APT

Gelsemium ir APT (Advanced Persistence Threat) grupa, kas ir aktīva vismaz kopš 2014. gada. Hakeri ir veikuši vairākas uzbrukuma kampaņas pret mērķiem, kas galvenokārt atrodas Austrumāzijā un Tuvo Austrumu reģionos. Viņu potenciālo upuru vidū ir subjekti no dažādām vertikālēm. Līdz šim Gelsemium APT upuru vidū ir valdības aģentūras, elektronikas ražotāji, reliģiskās organizācijas, kā arī vairākas universitātes.

Ļaunprātīgas programmatūras rīkkopa

Gelsemium APT grupa izveido daudzpakāpju uzbrukumu ķēdi savām darbībām. Pēc mērķa sistēmas pārkāpšanas hakeri izvieto ļaunprātīgu programmatūru ar nosaukumu Gelsemine. Pilinātājs ir neparasti liels šim ļaunprātīgas programmatūras veidam, taču tajā ir astoņi iegulti izpildāmie faili. Gelsemine izmanto lielo izmēru, lai pielāgotos sarežģītam mehānismam, kas ļauj apdraudējuma dalībniekam mainīt apdraudējuma uzvedību. Gelsemium APT var pielāgot pilinātāju atbilstoši apdraudētā upura arhitektūrai — 23 bitu vai 64 bitu, kā arī tam, vai lietotājam ir vai nav administratora tiesības.

Nākamā posma draudi ir gelsenicīns. Tās galvenais uzdevums ir izgūt galveno moduli ar nosaukumu Gelsevirine un pēc tam to izpildīt. Precīzu iekrāvēja darbību nosaka, pamatojoties uz vairākiem faktoriem. Ja cietušajam ir administratora privilēģijas, Gelsenicine nometīs nākamās pakāpes ļaunprogrammatūras bojāto DLL mapē C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Bez nepieciešamajām privilēģijām ielādētājs vietā CommonAppData/Google/Chrome/Application/Library/ nometīs failu chrome_elf.dll.

Gelsevirine ir galvenais Gelsemium uzbrukuma spraudnis. Saziņai ar Command-and-Control (C2, C&C) serveri tas izmanto sarežģītu iestatījumu. Konkrēts iegultais DLL darbojas kā starpnieks, kad runa ir par kontakta nodibināšanu. Turklāt konfigurācijas uzdevums ir apstrādāt dažādus protokolus — tcp, udp, http un https. Infosec pētnieki ir novērojuši, ka Gelsevirine izgūst dažādus spraudņus, tostarp saspiešanas-dekompresijas moduli C&C saziņai, spraudni, lai manipulētu ar failu sistēmu, un tādu, kas atvieglo DLL ievadīšanu atsevišķos procesos.

Papildu Gelsemium savienojumi

Pētniekiem izdevās atklāt noteiktas saiknes starp Gelsemium APT grupu un piegādes ķēdes uzbrukumu BigNox. Hakeri apdraudēja Android emulatora NoxPlayer atjaunināšanas mehānismu personālajiem un Mac datoriem.

OwlProxy ir bojāts modulis, kas uzrāda noteiktu darbību, kas ir novērota arī Gelsemium ļaunprātīgas programmatūras rīkos. Konkrētāk, draudi izmanto līdzīgas metodes, lai pārbaudītu Windows versiju apdraudētajā sistēmā. Citai ļaunprātīgas programmatūras aizmugures durvīm ar nosaukumu Chrommme nav tādu pašu acīmredzamo savienojumu, taču daži rādītāji norāda uz saikni ar Gelsemium. Galu galā gan Chrommme, gan Gelseverine izmanto to pašu C&C serveri kā vienu no serveriem, ko izmanto draudi. Turklāt Chrommme paraugs tika atklāts sistēmā, kuras mērķauditorija bija arī Gelsemium.