Gelsemium APT

Descrição do Gelsemium APT

O Gelsemium é um grupo APT (Ameaça Persistente Avançada) que está ativo desde pelo menos 2014. Os hackers realizaram várias campanhas de ataque contra alvos localizados no Leste Asiático e nas regiões do Oriente Médio predominantemente. Entre suas vítimas em potencial estão entidades de uma ampla gama de setores diferentes. Até agora, as vítimas da Gelsemium APT incluem agências governamentais, fabricantes de eletrônicos, organizações religiosas bem como várias universidades.

O Kit e Feerramentas do Malware

O grupo Gelsemium APT estabelece uma cadeia de ataque em vários estágios para suas operações. Depois de violar o sistema visado, os hackers implantam um malware dropper chamado Gelsemine. O dropper é excepcionalmente grande para esse tipo de malware, mas inclui oito executáveis incorporados. O tamanho grande é usado pelo Gelsemine para acomodar um mecanismo sofisticado que permite ao autor da ameaça modificar o comportamento da ameaça. O Gelsemium APT pode ajustar o dropper de acordo com a arquitetura da vítima comprometida - seja de 23 bits ou 64 bits, e se o usuário tem privilégios de administrador ou não.

A ameaça do próximo estágio o Gelsenicine. Sua principal tarefa é recuperar um módulo principal denominado Gelsevirine e, em seguida, executá-lo. O comportamento exato do carregador é determinado com base em vários fatores. Se a vítima tiver privilégios de administrador, o Gelsenicine descartará a DLL corrompido do malware de próximo estágio no C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Sem os privilégios necessários, o carregador irá colocar um chrome_elf.dll in the CommonAppData/Google/Chrome/Application/Library/ no local.

O Gelsevirine é o plugin principal do ataque Gelsemium. Ele usa uma configuração complexa em sua comunicação com o servidor de Comando-e-Controle (C2, C&C). Uma DLL incorporada específica atua como um intermediário quando se trata de estabelecer contato. Além disso, um config tem a tarefa de lidar com os diferentes protocolos - tcp, udp, http e https. Os pesquisadores de Infosec observaram que o Gelsevirine recupera diferentes plug-ins, incluindo um módulo de compressão-descompressão para comunicação C&C, um plug-in para manipular o sistema de arquivos e um que facilita a injeção de DLLs em processos selecionados.

Conexões Adicionais do Gelsemium

Os pesquisadores conseguiram descobrir certas ligações entre o grupo Gelsemium APT e o ataque da cadeia de suprimentos contra o BigNox. Os hackers comprometeram o mecanismo de atualização do NoxPlayer, um emulador Android para PCs e Macs.

O OwlProxy é um módulo corrompido que exibe certo comportamento que também foi observado nas ferramentas de malware do Gelsemium. Mais especificamente, as ameaças usam métodos semelhantes para testar a versão do Windows no sistema comprometido. Outro backdoor de malware chamado Chrommme não tem as mesmas conexões óbvias, mas certos indicadores apontam para um link com o Gelsemium. Afinal, tanto o Chrommme quanto o Gelseverine usam o mesmo servidor C&C como um dos servidores empregados pelas ameaças. Além disso, uma amostra de Chrommme foi descoberta em um sistema que também era visado pelo Gelsemium.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.