Гелсемиум АПТ

Гелсемиум је АПТ (Адванцед Персистенце Тхреат) група која је активна од најмање 2014. Хакери су спровели више кампања напада на мете које се претежно налазе у источној Азији и регионима Блиског истока. Међу њиховим потенцијалним жртвама су субјекти из широког спектра различитих вертикала. До сада су жртве Гелсемиум АПТ-а владине агенције, произвођачи електронике, верске организације, као и неколико универзитета.

Малваре Тоолкит

Група Гелсемиум АПТ успоставља вишестепени ланац напада за своје операције. Након што су провалили циљани систем, хакери постављају дроппер малвер под називом Гелсемине. Капалица је необично велика за овај тип малвера, али укључује осам уграђених извршних програма. Велику величину користи Гелсемине за смештај софистицираног механизма који омогућава актеру претње да модификује понашање претње. Гелсемиум АПТ може да подеси капалицу према архитектури угрожене жртве - 23-битној или 64-битној, и да ли корисник има администраторске привилегије или не.

Претња у следећој фази је гелсеницин. Његов главни задатак је да преузме главни модул по имену Гелсевирине и затим га изврши. Тачно понашање утоваривача се одређује на основу неколико фактора. Ако жртва има администраторске привилегије, Гелсеницине ће испустити оштећени ДЛЛ малвера следеће фазе у Ц:\Виндовс\Систем32\споол\пртпроцс\к64\винпринт.длл. Без потребних привилегија, учитавач ће уместо тога испустити цхроме_елф.длл на локацију ЦоммонАппДата/Гоогле/Цхроме/Апплицатион/Либрари/.

Гелсевирин је главни додатак Гелсемиум напада. Користи сложено подешавање у својој комуникацији са сервером за команду и контролу (Ц2, Ц&Ц). Одређени уграђени ДЛЛ делује као човек у средини када је у питању успостављање контакта. Поред тога, конфигурација има задатак да рукује различитим протоколима - тцп, удп, хттп и хттпс. Истраживачи Инфосец-а су приметили да Гелсевирине преузима различите додатке, укључујући модул компресије-декомпресије за Ц&Ц комуникацију, додатак за манипулисање системом датотека и онај који олакшава убризгавање ДЛЛ-ова у одабране процесе.

Додатне Гелсемиум везе

Истраживачи су успели да открију одређене везе између Гелсемиум АПТ групе и напада ланца снабдевања на БигНок. Хакери су компромитовали механизам ажурирања НокПлаиер-а, Андроид емулатора за ПЦ и Мац рачунаре.

ОвлПроки је оштећен модул који показује одређено понашање које је такође примећено у алатима за малвер Гелсемиум. Тачније, претње користе сличне методе за тестирање верзије Виндовс-а на компромитованом систему. Други бацкдоор злонамерног софтвера под називом Цхроммме нема исте очигледне везе, али одређени показатељи указују на везу са Гелсемиумом. Уосталом, и Цхроммме и Гелсеверине користе исти Ц&Ц сервер као један од сервера који користе претње. Штавише, узорак Цхроммме-а је откривен на систему који је такође био на мети Гелсемијума.