Xhelsemi APT

Gelsemium është një grup APT (Kërcënimi i Përparuar i Qëndrueshmërisë) që ka qenë aktiv që të paktën nga viti 2014. Hakerët kanë kryer fushata të shumta sulmesh kundër objektivave të vendosura kryesisht në Azinë Lindore dhe në rajonet e Lindjes së Mesme. Ndër viktimat e tyre të mundshme janë subjekte nga një gamë e gjerë vertikalesh të ndryshme. Deri më tani, viktimat e Gelsemium APT përfshijnë agjenci qeveritare, prodhues elektronikë, organizata fetare, si dhe disa universitete.

Paketa e veglave të malware

Grupi Gelsemium APT krijon një zinxhir sulmi me shumë faza për operacionet e tyre. Pas shkeljes së sistemit të synuar, hakerët vendosin një malware me pika të quajtur Gelsemine. Pikatori është jashtëzakonisht i madh për këtë lloj malware, por ai përfshin tetë ekzekutues të integruar. Madhësia e madhe përdoret nga Gelsemine për të akomoduar një mekanizëm të sofistikuar që lejon aktorin e kërcënimit të modifikojë sjelljen e kërcënimit. Gelsemium APT mund të rregullojë pikatoren sipas arkitekturës së viktimës së komprometuar - qoftë 23-bit ose 64-bit, dhe nëse përdoruesi ka privilegje administratori apo jo.

Kërcënimi i fazës tjetër është Gelsenicina. Detyra e tij kryesore është të marrë një modul kryesor të quajtur Gelsevirine dhe më pas ta ekzekutojë atë. Sjellja e saktë e ngarkuesit përcaktohet bazuar në disa faktorë. Nëse viktima ka privilegje administratori, Gelsenicine do të heqë DLL-në e korruptuar të malware-it të fazës tjetër nën C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Pa privilegjet e nevojshme, ngarkuesi do të lëshojë një chrome_elf.dll në vendndodhjen CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine është shtojca kryesore e sulmit Gelsemium. Ai përdor një konfigurim kompleks në komunikimin e tij me serverin Command-and-Control (C2, C&C). Një DLL specifike e integruar vepron si një njeri në mes kur bëhet fjalë për vendosjen e kontaktit. Përveç kësaj, një konfigurim ka për detyrë të trajtojë protokollet e ndryshme - tcp, udp, http dhe https. Studiuesit e Infosec kanë vëzhguar që Gelsevirine merr plug-in të ndryshëm duke përfshirë një modul kompresimi-dekompresimi për komunikimin C&C, një prizë për të manipuluar sistemin e skedarëve dhe një që lehtëson injektimin e DLL-ve në procese të zgjedhura.

Lidhje shtesë xhelsemiumi

Studiuesit arritën të zbulojnë lidhje të caktuara midis grupit Gelsemium APT dhe sulmit të zinxhirit të furnizimit kundër BigNox. Hakerët komprometuan mekanizmin e përditësimit të NoxPlayer, një emulator Android për PC dhe Mac.

OwlProxy është një modul i korruptuar që shfaq sjellje të caktuara që janë vërejtur gjithashtu në mjetet e malware Gelsemium. Më konkretisht, kërcënimet përdorin metoda të ngjashme për të testuar versionin e Windows në sistemin e komprometuar. Një tjetër porta e pasme e malware me emrin Chrommme nuk ka të njëjtat lidhje të dukshme, por disa tregues tregojnë drejt një lidhjeje me Gelsemium. Në fund të fundit, të dy Chrommme dhe Gelseverine përdorin të njëjtin server C&C si një nga serverët e përdorur nga kërcënimet. Për më tepër, një mostër e Chrommme u zbulua në një sistem që ishte gjithashtu në shënjestër nga Gelsemium.