Gelsemium APT

Gelsemium to grupa APT (Advanced Persistence Threat), która działa od co najmniej 2014 roku. Hakerzy przeprowadzili wiele kampanii ataków na cele zlokalizowane głównie w Azji Wschodniej i regionach Bliskiego Wschodu. Wśród ich potencjalnych ofiar są podmioty z wielu różnych branż. Jak dotąd ofiarami Gelsemium APT są agencje rządowe, producenci elektroniki, organizacje religijne, a także kilka uniwersytetów.

Zestaw narzędzi do złośliwego oprogramowania

Grupa Gelsemium APT ustanawia dla swoich operacji wieloetapowy łańcuch ataków. Po włamaniu się do zaatakowanego systemu hakerzy wdrażają malware typu dropper o nazwie Gelsemine. Dropper jest niezwykle duży jak na ten typ złośliwego oprogramowania, ale zawiera osiem osadzonych plików wykonywalnych. Duży rozmiar jest używany przez Gelsemine, aby pomieścić wyrafinowany mechanizm, który pozwala podmiotowi zagrażającemu modyfikować zachowanie zagrożenia. Gelsemium APT może dostosować dropper do architektury zaatakowanej ofiary - 23-bitowej lub 64-bitowej oraz tego, czy użytkownik ma uprawnienia administratora, czy nie.

Kolejnym zagrożeniem jest Gelsenicyna. Jego głównym zadaniem jest pobranie głównego modułu o nazwie Gelsevirine, a następnie jego wykonanie. Dokładne zachowanie ładowarki jest określane na podstawie kilku czynników. Jeśli ofiara ma uprawnienia administratora, Gelsenicine usunie uszkodzoną bibliotekę DLL następnego złośliwego oprogramowania w folderze C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Bez niezbędnych uprawnień program ładujący zamiast tego umieści plik chrome_elf.dll w lokalizacji CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine jest główną wtyczką ataku Gelsemium. Wykorzystuje złożoną konfigurację do komunikacji z serwerem Command-and-Control (C2, C&C). Określona osadzona biblioteka DLL działa jak człowiek w środku, jeśli chodzi o nawiązanie kontaktu. Ponadto konfiguracja ma za zadanie obsługiwać różne protokoły - tcp, udp, http i https. Badacze z Infosec zaobserwowali, że Gelsevirine pobiera różne wtyczki, w tym moduł kompresji-dekompresji do komunikacji C&C, wtyczkę do manipulowania systemem plików oraz wtyczkę ułatwiającą wstrzykiwanie bibliotek DLL do wybranych procesów.

Dodatkowe połączenia Gelsemium

Badaczom udało się odkryć pewne powiązania między grupą Gelsemium APT a atakiem łańcucha dostaw na BigNox. Hakerzy złamali mechanizm aktualizacji NoxPlayera, emulatora Androida dla komputerów PC i Mac.

OwlProxy to uszkodzony moduł, który wykazuje pewne zachowanie, które zaobserwowano również w narzędziach złośliwego oprogramowania Gelsemium. Mówiąc dokładniej, zagrożenia wykorzystują podobne metody do testowania wersji systemu Windows na zaatakowanym systemie. Inny backdoor złośliwego oprogramowania o nazwie Chrommme nie ma tych samych oczywistych powiązań, ale niektóre wskaźniki wskazują na powiązanie z Gelsemium. W końcu zarówno Chrommme, jak i Gelseverine używają tego samego serwera C&C, co jeden z serwerów wykorzystywanych przez zagrożenia. Co więcej, próbka Chrommme została odkryta w systemie, który był również celem Gelsemium.