Gelsemium APT

Gelsemium är en APT-grupp (Advanced Persistence Threat) som har varit aktiv sedan minst 2014. Hackarna har framförallt genomfört flera attackkampanjer mot mål som ligger i Östasien och Mellanösternregionerna. Bland deras potentiella offer finns enheter från ett brett spektrum av olika vertikaler. Hittills har Gelsemium APT: s offer omfattat myndigheter, elektroniska tillverkare, religiösa organisationer samt flera universitet.

Malware-verktygslåda

Gelsemium APT-gruppen etablerar en flerstegs attackkedja för deras verksamhet. Efter att ha brutit mot det riktade systemet distribuerar hackarna en dropper-malware som heter Gelsemine. Dropparen är ovanligt stor för denna malware-typ men den innehåller åtta inbäddade körbara filer. Den stora storleken används av Gelsemine för att rymma en sofistikerad mekanism som gör det möjligt för hotaktören att ändra hotet. Gelsemium APT kan justera dropparen i enlighet med det komprometterade offrets arkitektur - antingen 23-bitars eller 64-bitars, och om användaren har administratörsbehörighet eller inte.

Nästa steg hot är Gelsenicine. Dess huvuduppgift är att hämta en huvudmodul som heter Gelsevirine och sedan köra den. Lastarens exakta beteende bestäms utifrån flera faktorer. Om offret har administratörsbehörighet kommer Gelsenicine att släppa den skadade DLL-filen i nästa stegs skadlig kod under C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. Utan nödvändiga behörigheter släpper lastaren istället en chrome_elf.dll i CommonAppData / Google / Chrome / Application / Library / location.

Gelsevirine är huvudplugin för Gelsemium-attacken. Den använder en komplex installation i sin kommunikation med Command-and-Control (C2, C&C) servern. En specifik inbäddad DLL fungerar som en man-i-mitten när det gäller att skapa kontakt. Dessutom har en konfiguration i uppgift att hantera de olika protokollen - tcp, udp, http och https. Infosec-forskare har observerat att Gelsevirine hämtar olika plug-ins inklusive en kompressions-dekompressionsmodul för C & C-kommunikation, en plug-to för att manipulera filsystemet och en som underlättar injicering av DLL-filer i utvalda processer.

Ytterligare Gelsemium-anslutningar

Forskare lyckades avslöja vissa länkar mellan Gelsemium APT-gruppen och försörjningskedjeangreppet mot BigNox. Hackarna äventyrade uppdateringsmekanismen för NoxPlayer, en Android-emulator för PC och Mac.

OwlProxy är en skadad modul som uppvisar visst beteende som också har observerats i Gelsemium-verktyg för skadlig programvara. Mer specifikt använder hoten liknande metoder för att testa Windows-versionen på det komprometterade systemet. En annan bakdörr med skadlig kod som heter Chrommme har inte samma uppenbara kopplingar men vissa indikatorer pekar mot en länk med Gelsemium. När allt kommer omkring använder både Chrommme och Gelseverine samma C & C-server som en av de servrar som används av hoten. Dessutom upptäcktes ett urval av Chrommme i ett system som också var riktat av Gelsemium.