Gelsevirine

Gelsevirinie jest dostarczana do skompromitowanych maszyn przez ładowarkę pośrednią o nazwie Gelsemicine. Gelsevirinie to moduł złośliwego oprogramowania ostatniego etapu wdrażany w atakach grupy Gelsemium APT (Advanced Persistent Threat). Program ładujący istnieje w dwóch różnych wersjach, a ta, która zostanie uruchomiona, zależy od tego, czy zainfekowany użytkownik ma uprawnienia administratora, czy nie. Jeśli ofiara ma wymagane uprawnienia, Gelsevirine zostanie umieszczona w C:\Windows\System32\spool\prtprocs\x64\winprint.dll, w przeciwnym razie zostanie dostarczona jako DLL o nazwie chrome_elf.dll w CommonAppData/Google/Chrome/ Aplikacja/biblioteka/lokalizacja.

Po wdrożeniu w docelowym systemie Gelsevirine inicjuje złożoną konfigurację, aby osiągnąć i utrzymać komunikację z serwerem Command-and-Control. Po pierwsze, opiera się na wbudowanej bibliotece DLL, która pełni rolę man-in-the-middle. Ponadto oddzielna konfiguracja odpowiada za obsługę różnych typów protokołów, takich jak tcp, udp, http i https.

Badacze z Infosec byli w stanie wykryć kilka wtyczek, które są pobierane i inicjowane przez Gelsevirine, z których każda posiada inną funkcjonalność. Wtyczka FxCoder to narzędzie do kompresji i dekompresji, które ułatwia komunikację z C&C. Następnie jest wtyczka Utility, która może manipulować systemem plików na zaatakowanym urządzeniu. Ostatnią z zaobserwowanych wtyczek jest Inter - narzędzie umożliwiające wstrzykiwanie bibliotek DLL do wybranych procesów.