Gelsemium APT

Gelsemium - это группа APT (Advanced Persistence Threat), которая действует по крайней мере с 2014 года. Хакеры провели несколько кампаний атак против целей, расположенных преимущественно в регионах Восточной Азии и Ближнего Востока. Среди их потенциальных жертв - сущности из самых разных вертикалей. На данный момент жертвами APT от Gelsemium являются государственные учреждения, производители электроники, религиозные организации, а также несколько университетов.

Набор средств защиты от вредоносных программ

Группа Gelsemium APT устанавливает многоступенчатую цепочку атак для своих операций. После взлома целевой системы хакеры развертывают вредоносную программу-дроппер Gelsemine. Дроппер необычно большой для этого типа вредоносного ПО, но он включает восемь встроенных исполняемых файлов. Большой размер используется Gelsemine для размещения сложного механизма, который позволяет злоумышленнику изменять поведение угрозы. APT Gelsemium может настраивать дроппер в соответствии с архитектурой скомпрометированной жертвы - 23-битной или 64-битной, и есть ли у пользователя права администратора или нет.

Следующая угроза - гельсеницин. Его основная задача - получить основной модуль с именем Gelsevirine и затем выполнить его. Точное поведение погрузчика определяется на основе нескольких факторов. Если жертва имеет права администратора, Gelsenicine удалит поврежденную DLL вредоносного ПО следующего уровня в папку C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. Без необходимых привилегий загрузчик вместо этого сбросит chrome_elf.dll в папку CommonAppData / Google / Chrome / Application / Library /.

Gelsevirine - это основной плагин атаки Gelsemium. Он использует сложную настройку для связи с сервером Command-and-Control (C2, C&C). Конкретная встроенная DLL действует как посредник, когда дело доходит до установления контакта. Кроме того, конфигу поручено обрабатывать различные протоколы - tcp, udp, http и https. Исследователи Infosec наблюдали, как Gelsevirine извлекает различные плагины, включая модуль сжатия-декомпрессии для связи C&C, плагин для управления файловой системой и модуль, облегчающий внедрение библиотек DLL в выбранные процессы.

Дополнительные соединения Gelsemium

Исследователям удалось выявить определенные связи между APT-группой Gelsemium и атакой цепочки поставок на BigNox. Хакеры взломали механизм обновления NoxPlayer, эмулятора Android для ПК и Mac.

OwlProxy - это поврежденный модуль, который демонстрирует определенное поведение, которое также наблюдалось во вредоносных инструментах Gelsemium. В частности, угрозы используют аналогичные методы для тестирования версии Windows на скомпрометированной системе. Другой бэкдор вредоносного ПО под названием Chrommme не имеет таких очевидных связей, но определенные индикаторы указывают на связь с Gelsemium. В конце концов, и Chrommme, и Gelseverine используют один и тот же C&C сервер в качестве одного из серверов, используемых угрозами. Кроме того, образец Chrommme был обнаружен в системе, на которую также нацелилась компания Gelsemium.