Gelsemium APT

Gelsemium je skupina APT (Advanced Persistence Threat), ki je aktivna vsaj od leta 2014. Hekerji so izvedli več napadov na cilje, ki se nahajajo predvsem v vzhodni Aziji in na Bližnjem vzhodu. Med njihovimi potencialnimi žrtvami so subjekti iz široke palete različnih vertikal. Do zdaj so žrtve Gelsemium APT vladne agencije, proizvajalci elektronike, verske organizacije, pa tudi več univerz.

Zbirka orodij za zlonamerno programsko opremo

Skupina Gelsemium APT za svoje delovanje vzpostavi večstopenjsko verigo napadov. Po vdoru v ciljni sistem hekerji namestijo zlonamerno programsko opremo, imenovano Gelsemine. Kapalnik je nenavadno velik za to vrsto zlonamerne programske opreme, vendar vključuje osem vdelanih izvedljivih datotek. Gelsemine uporablja veliko velikost za namestitev izpopolnjenega mehanizma, ki akterju grožnje omogoča, da spremeni vedenje grožnje. Gelsemium APT lahko prilagodi kapalko glede na arhitekturo ogrožene žrtve - bodisi 23-bitne ali 64-bitne, in glede na to, ali ima uporabnik skrbniške pravice ali ne.

Naslednja stopnja grožnje je gelsenicin. Njegova glavna naloga je pridobiti glavni modul z imenom Gelsevirine in ga nato izvesti. Natančno obnašanje nakladalnika se določi na podlagi več dejavnikov. Če ima žrtev skrbniške pravice, bo Gelsenicine odstranil poškodovano DLL naslednje stopnje zlonamerne programske opreme v C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Brez potrebnih privilegijev bo nalagalnik namesto tega spustil chrome_elf.dll na lokacijo CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine je glavni vtičnik napada Gelsemium. Pri komunikaciji s strežnikom za upravljanje in nadzor (C2, C&C) uporablja zapleteno nastavitev. Določen vgrajeni DLL deluje kot človek v sredini, ko gre za vzpostavitev stika. Poleg tega je konfiguracija zadolžena za ravnanje z različnimi protokoli - tcp, udp, http in https. Raziskovalci Infosec so opazili, da Gelsevirine pridobiva različne vtičnike, vključno s stiskalno-dekompresijskim modulom za komunikacijo C&C, vtičnikom za manipuliranje datotečnega sistema in tistim, ki olajša vbrizgavanje DLL-jev v izbrane procese.

Dodatne povezave Gelsemium

Raziskovalci so uspeli odkriti določene povezave med skupino Gelsemium APT in napadom dobavne verige na BigNox. Hekerji so ogrozili mehanizem posodabljanja NoxPlayerja, emulatorja Android za osebne računalnike in računalnike Mac.

OwlProxy je poškodovan modul, ki kaže določeno vedenje, ki je bilo opaženo tudi v orodjih za zlonamerno programsko opremo Gelsemium. Natančneje, grožnje uporabljajo podobne metode za testiranje različice sistema Windows v ogroženem sistemu. Druga zaledna vrata zlonamerne programske opreme, imenovana Chrommme, nima enakih očitnih povezav, vendar nekateri kazalci kažejo na povezavo z Gelsemiumom. Navsezadnje tako Chrommme kot Gelseverine uporabljata isti strežnik C&C kot enega od strežnikov, ki jih uporabljajo grožnje. Poleg tega je bil vzorec Chrommme odkrit na sistemu, ki je bil tudi cilj Gelsemium.