Gelsemium APT

Gelsemium is een APT-groep (Advanced Persistence Threat) die ten minste sinds 2014 actief is. De hackers hebben meerdere aanvalscampagnes uitgevoerd op doelen in voornamelijk Oost-Azië en het Midden-Oosten. Onder hun potentiële slachtoffers bevinden zich entiteiten uit een breed scala van verschillende branches. Tot nu toe zijn onder de slachtoffers van Gelsemium APT overheidsinstanties, elektronische fabrikanten, religieuze organisaties en verschillende universiteiten.

Malware-toolkit

De Gelsemium APT-groep zet een meertraps aanvalsketen op voor hun operaties. Na het doorbreken van het beoogde systeem, implementeren de hackers een dropper-malware genaamd Gelsemine. De druppelaar is ongewoon groot voor dit type malware, maar bevat acht ingesloten uitvoerbare bestanden. Het grote formaat wordt door Gelsemine gebruikt om plaats te bieden aan een geavanceerd mechanisme waarmee de dreigingsactor het gedrag van de dreiging kan wijzigen. De Gelsemium APT kan de druppelaar aanpassen aan de architectuur van het gecompromitteerde slachtoffer - ofwel 23-bits of 64-bits, en of de gebruiker beheerdersrechten heeft of niet.

De volgende bedreiging is Gelsenicine. De belangrijkste taak is om een hoofdmodule met de naam Gelsevirine op te halen en deze vervolgens uit te voeren. Het exacte gedrag van de lader wordt bepaald op basis van verschillende factoren. Als het slachtoffer beheerdersrechten heeft, zal Gelsenicine de beschadigde DLL van de next-stage malware laten vallen onder C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Zonder de benodigde privileges zal de lader in plaats daarvan een chrome_elf.dll neerzetten in de CommonAppData/Google/Chrome/Application/Library/-locatie.

Gelsevirine is de belangrijkste plug-in van de Gelsemium-aanval. Het gebruikt een complexe setup in zijn communicatie met de Command-and-Control (C2, C&C) server. Een specifieke embedded DLL fungeert als een man-in-the-middle als het gaat om het leggen van contact. Bovendien is een configuratie belast met het afhandelen van de verschillende protocollen - tcp, udp, http en https. Infosec-onderzoekers hebben waargenomen dat Gelsevirine verschillende plug-ins ophaalt, waaronder een compressie-decompressiemodule voor C&C-communicatie, een plug-om het bestandssysteem te manipuleren en een die de injectie van DLL's in geselecteerde processen vergemakkelijkt.

Extra Gelsemium-verbindingen

Onderzoekers zijn erin geslaagd bepaalde verbanden tussen de Gelsemium APT-groep en de aanval op de toeleveringsketen tegen BigNox aan het licht te brengen. De hackers hebben het updatemechanisme van NoxPlayer, een Android-emulator voor pc's en Macs, gecompromitteerd.

OwlProxy is een beschadigde module die bepaald gedrag vertoont dat ook is waargenomen in de Gelsemium-malwaretools. Meer specifiek gebruiken de bedreigingen vergelijkbare methoden om de Windows-versie op het besmette systeem te testen. Een andere malware-achterdeur genaamd Chrommme heeft niet dezelfde duidelijke connecties, maar bepaalde indicatoren wijzen in de richting van een link met Gelsemium. Zowel Chrommme als Gelseverine gebruiken immers dezelfde C&C-server als een van de servers die door de bedreigingen worden gebruikt. Verder werd een monster van Chrommme ontdekt op een systeem dat ook het doelwit was van Gelsemium.