Gelsemium APT

Gelsemium este un grup APT (Advanced Persistence Threat) care este activ din cel puțin 2014. Hackerii au desfășurat mai multe campanii de atac împotriva țintelor situate în Asia de Est și regiunile Orientului Mijlociu predominant. Printre victimele lor potențiale se numără entități dintr-o gamă largă de verticale diferite. Până acum, victimele Gelsemium APT includ agenții guvernamentale, producători de electronice, organizații religioase, precum și mai multe universități.

Setul de instrumente pentru programe malware

Grupul Gelsemium APT stabilește un lanț de atac în mai multe etape pentru operațiunile lor. După încălcarea sistemului vizat, hackerii implementează un program malware dropper numit Gelsemine. Dropper-ul este neobișnuit de mare pentru acest tip de malware, dar include opt executabile încorporate. Dimensiunea mare este folosită de Gelsemine pentru a găzdui un mecanism sofisticat care permite actorului amenințării să modifice comportamentul amenințării. Gelsemium APT poate ajusta dropper-ul în funcție de arhitectura victimei compromise - fie pe 23 de biți, fie pe 64 de biți și dacă utilizatorul are sau nu privilegii de administrator.

Următoarea amenințare este Gelsenicina. Sarcina sa principală este de a prelua un modul principal numit Gelsevirine și apoi de a-l executa. Comportamentul exact al încărcătorului este determinat pe baza mai multor factori. Dacă victima are privilegii de administrator, Gelsenicine va elimina DLL-ul corupt al programului malware din etapa următoare sub C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Fără privilegiile necesare, încărcătorul va arunca un chrome_elf.dll în locația CommonAppData/Google/Chrome/Application/Library/.

Gelsevirina este pluginul principal al atacului Gelsemium. Utilizează o configurație complexă în comunicarea cu serverul Command-and-Control (C2, C&C). O anumită DLL încorporată acționează ca un om în mijloc atunci când vine vorba de stabilirea contactului. În plus, o configurație are sarcina de a gestiona diferite protocoale - tcp, udp, http și https. Cercetătorii Infosec au observat că Gelsevirine preia diferite plug-in-uri, inclusiv un modul de compresie-decompresie pentru comunicarea C&C, un plug pentru a manipula sistemul de fișiere și unul care facilitează injectarea de DLL-uri în anumite procese.

Conexiuni suplimentare Gelsemium

Cercetătorii au reușit să descopere anumite legături între grupul Gelsemium APT și atacul lanțului de aprovizionare împotriva BigNox. Hackerii au compromis mecanismul de actualizare al NoxPlayer, un emulator Android pentru PC-uri și Mac-uri.

OwlProxy este un modul corupt care prezintă un anumit comportament care a fost observat și în instrumentele malware Gelsemium. Mai precis, amenințările folosesc metode similare pentru a testa versiunea Windows pe sistemul compromis. Un alt program malware numit Chrommme nu are aceleași conexiuni evidente, dar anumiți indicatori indică o legătură cu Gelsemium. La urma urmei, atât Chrommme, cât și Gelseverine folosesc același server C&C ca unul dintre serverele folosite de amenințări. Mai mult, o mostră de Chrommme a fost descoperită pe un sistem care a fost vizat și de Gelsemium.