Gelsevirine

Gelsevirinie wordt aan de gecompromitteerde machines geleverd door een mid-stage loader genaamd Gelsemicine. Gelsevirinie is de malware-module van de laatste fase die wordt ingezet bij aanvallen door de Gelsemium APT-groep (Advanced Persistent Threat). De loader bestaat in twee verschillende versies en degene die wordt uitgevoerd hangt af van of de geïnfecteerde gebruiker beheerdersrechten heeft of niet. Als het slachtoffer over de vereiste rechten beschikt, wordt Gelsevirine gedropt onder C:\Windows\System32\spool\prtprocs\x64\winprint.dll, anders wordt het geleverd als een DLL met de naam chrome_elf.dll in de CommonAppData/Google/Chrome/ Applicatie/Bibliotheek/locatie.

Eenmaal geïmplementeerd op het beoogde systeem, initieert Gelsevirine een complexe installatie om de communicatie met de Command-and-Control-server te bereiken en te onderhouden. Ten eerste vertrouwt het op een ingebedde DLL om de rol van man-in-the-middle te vervullen. Daarnaast is een aparte config verantwoordelijk voor het afhandelen van de verschillende protocoltypes zoals tcp, udp, http en https.

Infosec-onderzoekers konden verschillende plug-ins detecteren die worden opgehaald en gestart door Gelsevirine, elk met een andere functionaliteit. De FxCoder-plug-in is een compressie-decompressietool die C&C-communicatie vergemakkelijkt. Vervolgens is er de Utility plug-in die het bestandssysteem op het gecompromitteerde apparaat kan manipuleren. De laatste van de waargenomen plug-ins is Inter - een tool die de injectie van DLL's in gekozen processen mogelijk maakt.