Gelsemium APT

Gelsemium ialah kumpulan APT (Advanced Persistence Threat) yang telah aktif sejak sekurang-kurangnya 2014. Penggodam telah menjalankan pelbagai kempen serangan terhadap sasaran yang terletak di kawasan Asia Timur dan Timur Tengah terutamanya. Antara mangsa berpotensi mereka ialah entiti daripada pelbagai jenis menegak yang berbeza. Setakat ini mangsa Gelsemium APT termasuk agensi kerajaan, pengeluar elektronik, pertubuhan keagamaan, serta beberapa universiti.

Kit Alat Perisian Hasad

Kumpulan APT Gelsemium mewujudkan rantaian serangan berbilang peringkat untuk operasi mereka. Selepas melanggar sistem yang disasarkan, penggodam menggunakan perisian hasad penitis bernama Gelsemine. Penitis adalah luar biasa besar untuk jenis perisian hasad ini tetapi ia termasuk lapan boleh laku terbenam. Saiz besar digunakan oleh Gelsemine untuk menampung mekanisme canggih yang membolehkan pelaku ancaman mengubah suai tingkah laku ancaman. APT Gelsemium boleh melaraskan penitis mengikut seni bina mangsa yang terjejas - sama ada 23-bit atau 64-bit, dan sama ada pengguna mempunyai keistimewaan pentadbir atau tidak.

Ancaman peringkat seterusnya ialah Gelsenicine. Tugas utamanya adalah untuk mendapatkan semula modul utama bernama Gelsevirine dan kemudian melaksanakannya. Kelakuan tepat pemuat ditentukan berdasarkan beberapa faktor. Jika mangsa mempunyai keistimewaan pentadbir, Gelsenicine akan menggugurkan DLL yang rosak bagi perisian hasad peringkat seterusnya di bawah C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Tanpa keistimewaan yang diperlukan, pemuat sebaliknya akan menjatuhkan chrome_elf.dll di lokasi CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine ialah pemalam utama serangan Gelsemium. Ia menggunakan persediaan yang kompleks dalam komunikasinya dengan pelayan Command-and-Control (C2, C&C). DLL terbenam khusus bertindak sebagai orang tengah apabila ia datang untuk mewujudkan hubungan. Selain itu, konfigurasi ditugaskan untuk mengendalikan protokol yang berbeza - tcp, udp, http dan https. Penyelidik Infosec telah memerhatikan Gelsevirine mendapatkan semula pemalam yang berbeza termasuk modul penyahmampatan mampatan untuk komunikasi C&C, palam untuk memanipulasi sistem fail dan yang memudahkan suntikan DLL ke dalam proses terpilih.

Sambungan Gelsemium Tambahan

Penyelidik berjaya mendedahkan pautan tertentu antara kumpulan Gelsemium APT dan serangan rantaian bekalan terhadap BigNox. Penggodam telah menjejaskan mekanisme kemas kini NoxPlayer, emulator Android untuk PC dan Mac.

OwlProxy ialah modul rosak yang menunjukkan tingkah laku tertentu yang juga telah diperhatikan dalam alat perisian hasad Gelsemium. Lebih khusus lagi, ancaman menggunakan kaedah yang sama untuk menguji versi Windows pada sistem yang terjejas. Satu lagi pintu belakang perisian hasad bernama Chrommme tidak mempunyai sambungan jelas yang sama tetapi penunjuk tertentu menghala ke arah pautan dengan Gelsemium. Lagipun kedua-dua Chrommme dan Gelseverine menggunakan pelayan C&C yang sama sebagai salah satu pelayan yang digunakan oleh ancaman. Tambahan pula, sampel Chrommme ditemui pada sistem yang turut disasarkan oleh Gelsemium.