Gelsemium APT

Gelsemium je skupina APT (Advanced Persistence Threat), ktorá je aktívna prinajmenšom od roku 2014. Hackeri uskutočnili viacero útočných kampaní proti cieľom umiestneným prevažne vo východnej Ázii a na Blízkom východe. Medzi ich potenciálnymi obeťami sú subjekty zo širokého spektra rôznych vertikál. Medzi obeťami Gelsemium APT sú zatiaľ vládne agentúry, výrobcovia elektroniky, náboženské organizácie, ako aj viaceré univerzity.

Malware Toolkit

Skupina Gelsemium APT vytvára pre svoje operácie viacstupňový reťazec útokov. Po prelomení cieľového systému hackeri nasadia malvér s názvom Gelsemine. Kvapkadlo je nezvyčajne veľké pre tento typ malvéru, ale obsahuje osem vstavaných spustiteľných súborov. Veľký rozmer využíva Gelsemine na umiestnenie sofistikovaného mechanizmu, ktorý umožňuje aktérovi hrozby modifikovať správanie hrozby. Gelsemium APT dokáže prispôsobiť kvapkadlo podľa architektúry napadnutej obete – buď 23-bitovej alebo 64-bitovej, a podľa toho, či má používateľ oprávnenia správcu alebo nie.

Ďalšou hrozbou je gelsenicin. Jeho hlavnou úlohou je získať hlavný modul s názvom Gelsevirine a potom ho spustiť. Presné správanie nakladača je určené na základe viacerých faktorov. Ak má obeť oprávnenia správcu, Gelsenicine zahodí poškodenú knižnicu DLL škodlivého softvéru ďalšej fázy pod C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Bez potrebných oprávnení načítač namiesto toho zahodí súbor chrome_elf.dll do umiestnenia CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine je hlavný doplnok útoku Gelsemium. Pri komunikácii so serverom Command-and-Control (C2, C&C) využíva zložité nastavenie. Špecifická vstavaná knižnica DLL pôsobí pri nadväzovaní kontaktu ako man-in-the-middle. Okrem toho je úlohou konfigurácie manipulovať s rôznymi protokolmi - tcp, udp, http a https. Výskumníci spoločnosti Infosec spozorovali, že Gelsevirine získava rôzne zásuvné moduly vrátane modulu kompresie a dekompresie pre komunikáciu C&C, zásuvného modulu na manipuláciu so súborovým systémom a zásuvného modulu, ktorý uľahčuje vkladanie knižníc DLL do vybraných procesov.

Dodatočné pripojenia Gelsemium

Výskumníkom sa podarilo odhaliť určité prepojenia medzi skupinou Gelsemium APT a útokom dodávateľského reťazca proti BigNox. Hackeri napadli aktualizačný mechanizmus NoxPlayer, emulátora Androidu pre PC a Mac.

OwlProxy je poškodený modul, ktorý vykazuje určité správanie, ktoré bolo pozorované aj v nástrojoch malvéru Gelsemium. Konkrétnejšie, hrozby používajú podobné metódy na testovanie verzie systému Windows na napadnutom systéme. Ďalšie zadné vrátka škodlivého softvéru s názvom Chrommme nemajú rovnaké zrejmé spojenia, ale určité indikátory poukazujú na prepojenie s Gelsemium. Koniec koncov, Chrommme aj Gelseverine používajú rovnaký server C&C ako jeden zo serverov využívaných hrozbami. Okrem toho bola vzorka Chrommme objavená v systéme, na ktorý sa zameriaval aj Gelsemium.