ਜੈਲਸੀਮੀਅਮ ਏਪੀਟੀ

ਗੈਲਸੇਮੀਅਮ ਇੱਕ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਸ ਥ੍ਰੇਟ) ਸਮੂਹ ਹੈ ਜੋ ਘੱਟੋ-ਘੱਟ 2014 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਹੈਕਰਾਂ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਪੂਰਬੀ ਏਸ਼ੀਆ ਅਤੇ ਮੱਧ ਪੂਰਬ ਦੇ ਖੇਤਰਾਂ ਵਿੱਚ ਸਥਿਤ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਕਈ ਹਮਲੇ ਕੀਤੇ ਹਨ। ਉਹਨਾਂ ਦੇ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਵਰਟੀਕਲਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਹਨ। ਹੁਣ ਤੱਕ ਗੇਲਸੀਮੀਅਮ ਏਪੀਟੀ ਦੇ ਪੀੜਤਾਂ ਵਿੱਚ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ, ਇਲੈਕਟ੍ਰਾਨਿਕ ਨਿਰਮਾਤਾ, ਧਾਰਮਿਕ ਸੰਸਥਾਵਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਕਈ ਯੂਨੀਵਰਸਿਟੀਆਂ ਸ਼ਾਮਲ ਹਨ।

ਮਾਲਵੇਅਰ ਟੂਲਕਿੱਟ

ਜੈਲਸੇਮੀਅਮ ਏਪੀਟੀ ਸਮੂਹ ਆਪਣੇ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਬਹੁ-ਪੜਾਅ ਅਟੈਕ ਚੇਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਟਾਰਗੇਟਡ ਸਿਸਟਮ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਹੈਕਰ ਗੇਲਸੇਮਾਈਨ ਨਾਮਕ ਇੱਕ ਡਰਾਪਰ ਮਾਲਵੇਅਰ ਤਾਇਨਾਤ ਕਰਦੇ ਹਨ। ਡਰਾਪਰ ਇਸ ਮਾਲਵੇਅਰ ਕਿਸਮ ਲਈ ਅਸਧਾਰਨ ਤੌਰ 'ਤੇ ਵੱਡਾ ਹੈ ਪਰ ਇਸ ਵਿੱਚ ਅੱਠ ਏਮਬੈਡ ਕੀਤੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਸ਼ਾਮਲ ਹਨ। ਵੱਡੇ ਆਕਾਰ ਦੀ ਵਰਤੋਂ ਗੇਲਸੇਮਾਈਨ ਦੁਆਰਾ ਇੱਕ ਵਧੀਆ ਵਿਧੀ ਨੂੰ ਅਨੁਕੂਲ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਧਮਕੀ ਦੇ ਵਿਵਹਾਰ ਨੂੰ ਸੰਸ਼ੋਧਿਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਗੈਲਸੀਮੀਅਮ ਏਪੀਟੀ ਡਰਾਪਰ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਪੀੜਤ ਦੇ ਢਾਂਚੇ ਦੇ ਅਨੁਸਾਰ ਐਡਜਸਟ ਕਰ ਸਕਦਾ ਹੈ - ਜਾਂ ਤਾਂ 23-ਬਿੱਟ ਜਾਂ 64-ਬਿੱਟ, ਅਤੇ ਕੀ ਉਪਭੋਗਤਾ ਕੋਲ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਹਨ ਜਾਂ ਨਹੀਂ।

ਅਗਲੀ-ਪੜਾਅ ਦੀ ਧਮਕੀ ਗੇਲਸੇਨਿਸਿਨ ਹੈ। ਇਸਦਾ ਮੁੱਖ ਕੰਮ ਗੇਲਸੇਵੀਰੀਨ ਨਾਮਕ ਇੱਕ ਮੁੱਖ ਮੋਡੀਊਲ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਫਿਰ ਇਸਨੂੰ ਚਲਾਉਣਾ ਹੈ। ਲੋਡਰ ਦਾ ਸਹੀ ਵਿਵਹਾਰ ਕਈ ਕਾਰਕਾਂ ਦੇ ਅਧਾਰ ਤੇ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਪੀੜਤ ਕੋਲ ਪ੍ਰਬੰਧਕੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਹਨ, ਤਾਂ ਗੇਲਸੇਨੀਸਾਈਨ ਅਗਲੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਦੇ ਖਰਾਬ DLL ਨੂੰ C:\Windows\System32\sool\prtprocs\x64\winprint.dll ਦੇ ਅਧੀਨ ਛੱਡ ਦੇਵੇਗਾ। ਲੋੜੀਂਦੇ ਅਧਿਕਾਰਾਂ ਤੋਂ ਬਿਨਾਂ, ਲੋਡਰ CommonAppData/Google/Chrome/Application/Library/ ਸਥਾਨ ਵਿੱਚ ਇੱਕ chrome_elf.dll ਨੂੰ ਛੱਡ ਦੇਵੇਗਾ।

ਗੇਲਸੇਵਾਇਰਾਈਨ ਜੈਲਸੀਮੀਅਮ ਹਮਲੇ ਦਾ ਮੁੱਖ ਪਲੱਗਇਨ ਹੈ। ਇਹ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਵਿੱਚ ਇੱਕ ਗੁੰਝਲਦਾਰ ਸੈੱਟਅੱਪ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ ਤਾਂ ਇੱਕ ਖਾਸ ਏਮਬੇਡਡ DLL ਇੱਕ ਮੈਨ-ਇਨ-ਦ-ਮਿਡਲ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਸੰਰਚਨਾ ਨੂੰ ਵੱਖ-ਵੱਖ ਪ੍ਰੋਟੋਕੋਲਾਂ - tcp, udp, http, ਅਤੇ https ਨੂੰ ਸੰਭਾਲਣ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਗੇਲਸੇਵਾਇਰਾਈਨ ਵੱਖ-ਵੱਖ ਪਲੱਗ-ਇਨਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ C&C ਸੰਚਾਰ ਲਈ ਇੱਕ ਕੰਪਰੈਸ਼ਨ-ਡੀਕੰਪਰੈਸ਼ਨ ਮੋਡੀਊਲ, ਫਾਈਲ ਸਿਸਟਮ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਇੱਕ ਪਲੱਗ ਅਤੇ ਇੱਕ ਜੋ ਚੋਣਵ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ DLLs ਦੇ ਟੀਕੇ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।

ਵਧੀਕ ਜੈਲਸੀਮੀਅਮ ਕਨੈਕਸ਼ਨ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗੈਲਸੀਮੀਅਮ ਏਪੀਟੀ ਸਮੂਹ ਅਤੇ ਬਿਗਨੌਕਸ ਦੇ ਵਿਰੁੱਧ ਸਪਲਾਈ-ਚੇਨ ਹਮਲੇ ਦੇ ਵਿਚਕਾਰ ਕੁਝ ਲਿੰਕਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਹੇ। ਹੈਕਰਾਂ ਨੇ ਪੀਸੀ ਅਤੇ ਮੈਕ ਲਈ ਇੱਕ ਐਂਡਰੌਇਡ ਇਮੂਲੇਟਰ, NoxPlayer ਦੇ ਅਪਡੇਟ ਵਿਧੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ।

OwlProxy ਇੱਕ ਖਰਾਬ ਮੋਡੀਊਲ ਹੈ ਜੋ ਕੁਝ ਖਾਸ ਵਿਵਹਾਰ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਕਿ ਗੇਲਸੀਮੀਅਮ ਮਾਲਵੇਅਰ ਟੂਲਸ ਵਿੱਚ ਵੀ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਵਧੇਰੇ ਖਾਸ ਤੌਰ 'ਤੇ, ਧਮਕੀਆਂ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਵਿੰਡੋਜ਼ ਸੰਸਕਰਣ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਸਮਾਨ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ। Chrommme ਨਾਮਕ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਬੈਕਡੋਰ ਵਿੱਚ ਉਹੀ ਸਪੱਸ਼ਟ ਕਨੈਕਸ਼ਨ ਨਹੀਂ ਹਨ ਪਰ ਕੁਝ ਸੰਕੇਤਕ ਗੇਲਸੀਮੀਅਮ ਨਾਲ ਇੱਕ ਲਿੰਕ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਆਖ਼ਰਕਾਰ, Chrommme ਅਤੇ Gelseverine ਦੋਵੇਂ ਇੱਕੋ C&C ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਜਿਵੇਂ ਕਿ ਧਮਕੀਆਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਸਰਵਰਾਂ ਵਿੱਚੋਂ ਇੱਕ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕ੍ਰੋਮਮ ਦਾ ਇੱਕ ਨਮੂਨਾ ਇੱਕ ਸਿਸਟਮ 'ਤੇ ਖੋਜਿਆ ਗਿਆ ਸੀ ਜਿਸ ਨੂੰ ਜੈਲਸੇਮੀਅਮ ਦੁਆਰਾ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ।