Gelsemium APT

Gelsemium er en APT-gruppe (Advanced Persistence Threat) som har vært aktiv siden minst 2014. Hackerne har gjennomført flere angrepskampanjer mot mål lokalisert i Øst-Asia og Midtøsten-regionene hovedsakelig. Blant deres potensielle ofre er enheter fra et bredt spekter av forskjellige vertikaler. Så langt inkluderer Gelsemium APTs ofre offentlige etater, elektroniske produsenter, religiøse organisasjoner, samt flere universiteter.

Malware Toolkit

Gelsemium APT-gruppen etablerer en flertrinns angrepskjede for deres operasjoner. Etter å ha brutt det målrettede systemet, distribuerer hackerne en dropper-malware kalt Gelsemine. Dropperen er uvanlig stor for denne typen skadelig programvare, men den inkluderer åtte innebygde kjørbare filer. Den store størrelsen brukes av Gelsemine for å imøtekomme en sofistikert mekanisme som lar trusselaktøren endre oppførselen til trusselen. Gelsemium APT kan justere dropperen i henhold til arkitekturen til det kompromitterte offeret - enten 23-bit eller 64-bit, og om brukeren har administratorrettigheter eller ikke.

Den neste trusselen er Gelsenicine. Hovedoppgaven er å hente en hovedmodul ved navn Gelsevirine og deretter kjøre den. Den nøyaktige oppførselen til lasteren bestemmes basert på flere faktorer. Hvis offeret har administratorrettigheter, vil Gelsenicine slippe den ødelagte DLL-filen til neste trinn av skadelig programvare under C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Uten de nødvendige privilegiene vil lasteren i stedet slippe en chrome_elf.dll i CommonAppData/Google/Chrome/Application/Library/-plasseringen.

Gelsevirine er hovedpluginen til Gelsemium-angrepet. Den bruker et komplekst oppsett i kommunikasjonen med Command-and-Control-serveren (C2, C&C). En spesifikk innebygd DLL fungerer som en mann-i-midten når det gjelder å etablere kontakt. I tillegg har en konfigurasjon i oppgave å håndtere de forskjellige protokollene - tcp, udp, http og https. Infosec-forskere har observert at Gelsevirine henter forskjellige plug-ins inkludert en komprimerings-dekompresjonsmodul for C&C-kommunikasjon, en plugg for å manipulere filsystemet og en som letter injeksjonen av DLL-er i utvalgte prosesser.

Ytterligere Gelsemium-tilkoblinger

Forskere klarte å avdekke visse koblinger mellom Gelsemium APT-gruppen og forsyningskjedeangrepet mot BigNox. Hackerne kompromitterte oppdateringsmekanismen til NoxPlayer, en Android-emulator for PC-er og Mac-er.

OwlProxy er en ødelagt modul som viser en viss oppførsel som også har blitt observert i Gelsemium malware-verktøy. Mer spesifikt bruker truslene lignende metoder for å teste Windows-versjonen på det kompromitterte systemet. En annen bakdør for skadelig programvare kalt Chrommme har ikke de samme åpenbare forbindelsene, men visse indikatorer peker mot en kobling med Gelsemium. Tross alt bruker både Chrommme og Gelseverine den samme C&C-serveren som en av serverne som brukes av truslene. Videre ble en prøve av Chrommme oppdaget på et system som også var målrettet av Gelsemium.