Gelsemium APT

Gelsemium कम्तिमा 2014 देखि सक्रिय रहेको APT (उन्नत पर्सिस्टेन्स थ्रेट) समूह हो। ह्याकरहरूले मुख्य रूपमा पूर्वी एशिया र मध्य पूर्व क्षेत्रहरूमा अवस्थित लक्ष्यहरू विरुद्ध धेरै आक्रमण अभियानहरू सञ्चालन गरेका छन्। तिनीहरूको सम्भावित पीडितहरू मध्ये विभिन्न ठाडो दायराका संस्थाहरू छन्। अहिलेसम्म जेलसेमियम एपीटीका पीडितहरूमा सरकारी एजेन्सीहरू, इलेक्ट्रोनिक उत्पादकहरू, धार्मिक संस्थाहरू, साथै धेरै विश्वविद्यालयहरू समावेश छन्।

मालवेयर टूलकिट

Gelsemium APT समूहले तिनीहरूको सञ्चालनको लागि बहु-चरण आक्रमण श्रृंखला स्थापना गर्दछ। लक्षित प्रणाली उल्लङ्घन गरेपछि, ह्याकरहरूले Gelsemine नामक ड्रपर मालवेयर प्रयोग गर्छन्। यस मालवेयर प्रकारको लागि ड्रपर असामान्य रूपमा ठूलो छ तर यसले आठ एम्बेडेड कार्यान्वयनयोग्यहरू समावेश गर्दछ। ठूलो साइज Gelsemine द्वारा एक परिष्कृत संयन्त्र समायोजन गर्न प्रयोग गरिन्छ जसले खतरा अभिनेतालाई खतराको व्यवहार परिमार्जन गर्न अनुमति दिन्छ। Gelsemium APT ले सम्झौता पीडितको संरचना अनुसार ड्रपर समायोजन गर्न सक्छ - या त 23-बिट वा 64-बिट, र प्रयोगकर्तासँग प्रशासक विशेषाधिकार छ वा छैन।

अर्को चरणको खतरा Gelsenicine हो। यसको मुख्य कार्य Gelsevirine नामको मुख्य मोड्युल पुन: प्राप्त गर्न र त्यसपछि यसलाई कार्यान्वयन गर्नु हो। लोडरको सही व्यवहार धेरै कारकहरूको आधारमा निर्धारण गरिन्छ। यदि पीडितसँग प्रशासनिक विशेषाधिकारहरू छन् भने, Gelsenicine ले C:\Windows\System32\spool\prtprocs\x64\winprint.dll अन्तर्गत अर्को चरणको मालवेयरको भ्रष्ट DLL छोड्नेछ। आवश्यक विशेषाधिकारहरू बिना, लोडरले CommonAppData/Google/Chrome/Application/Library/ स्थानमा chrome_elf.dll छोड्नेछ।

Gelsevirine Gelsemium आक्रमणको मुख्य प्लगइन हो। यसले कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरसँगको सञ्चारमा जटिल सेटअप प्रयोग गर्दछ। एक विशिष्ट इम्बेडेड DLL ले सम्पर्क स्थापित गर्न आउँदा मध्य-मा-मानिसको रूपमा कार्य गर्दछ। थप रूपमा, एक कन्फिगरेसनलाई विभिन्न प्रोटोकलहरू ह्यान्डल गर्ने काम दिइएको छ - tcp, udp, http, र https। इन्फोसेक अनुसन्धानकर्ताहरूले गेल्सेभिरिनले C&C संचारका लागि कम्प्रेसन-डिकम्प्रेसन मोड्युल, फाइल प्रणालीमा हेरफेर गर्न प्लग-इन र चयन प्रक्रियाहरूमा DLL हरू इन्जेक्सन गर्ने सुविधा सहित विभिन्न प्लग-इनहरू पुन: प्राप्त गरेको अवलोकन गरेका छन्।

अतिरिक्त Gelsemium जडानहरू

अन्वेषकहरूले Gelsemium APT समूह र BigNox विरुद्ध आपूर्ति-श्रृंखला आक्रमण बीचको केही लिङ्कहरू उजागर गर्न व्यवस्थित गरे। ह्याकरहरूले पीसी र म्याकहरूको लागि एन्ड्रोइड इमुलेटर NoxPlayer को अपडेट मेकानिजममा सम्झौता गरे।

OwlProxy एक भ्रष्ट मोड्युल हो जसले केहि व्यवहारहरू प्रदर्शन गर्दछ जुन Gelsemium मालवेयर उपकरणहरूमा पनि अवलोकन गरिएको छ। थप विशेष रूपमा, धम्कीहरूले सम्झौता प्रणालीमा विन्डोज संस्करण परीक्षण गर्न समान विधिहरू प्रयोग गर्दछ। Chrommme नामको अर्को मालवेयर ब्याकडोरमा उही स्पष्ट जडानहरू छैनन् तर केहि संकेतकहरूले Gelsemium सँग लिङ्क तर्फ संकेत गर्दछ। आखिर दुबै Chrommme र Gelseverine ले धम्कीहरू द्वारा नियोजित सर्भरहरू मध्ये एकको रूपमा समान C&C सर्भर प्रयोग गर्दछ। यसबाहेक, Chrommme को नमूना एक प्रणालीमा पत्ता लगाइएको थियो जुन पनि Gelsemium द्वारा लक्षित थियो।