ஜெல்செமியம் ஏபிடி

Gelsemium என்பது APT (மேம்பட்ட நிலைத்தன்மை அச்சுறுத்தல்) குழுவாகும், இது குறைந்தது 2014 முதல் செயல்பட்டு வருகிறது. கிழக்கு ஆசியா மற்றும் மத்திய கிழக்கு பிராந்தியங்களில் முக்கியமாக அமைந்துள்ள இலக்குகளுக்கு எதிராக ஹேக்கர்கள் பல தாக்குதல் பிரச்சாரங்களை மேற்கொண்டுள்ளனர். அவர்களின் சாத்தியமான பாதிக்கப்பட்டவர்களில் பல்வேறு செங்குத்துகளின் பரந்த அளவிலான நிறுவனங்களும் அடங்கும். இதுவரை Gelsemium APT இன் பாதிக்கப்பட்டவர்களில் அரசு நிறுவனங்கள், மின்னணு உற்பத்தியாளர்கள், மத நிறுவனங்கள் மற்றும் பல பல்கலைக்கழகங்கள் அடங்கும்.

மால்வேர் கருவித்தொகுப்பு

Gelsemium APT குழுவானது அவர்களின் செயல்பாடுகளுக்காக பல-நிலை தாக்குதல் சங்கிலியை நிறுவுகிறது. இலக்கு கணினியை மீறிய பிறகு, ஹேக்கர்கள் கெல்செமைன் என்ற டிராப்பர் தீம்பொருளைப் பயன்படுத்துகின்றனர். இந்த மால்வேர் வகைக்கு டிராப்பர் வழக்கத்திற்கு மாறாக பெரியதாக உள்ளது, ஆனால் இதில் எட்டு உட்பொதிக்கப்பட்ட எக்ஸிகியூட்டபிள்கள் உள்ளன. அச்சுறுத்தலின் நடத்தையை மாற்ற அச்சுறுத்தல் நடிகரை அனுமதிக்கும் ஒரு அதிநவீன பொறிமுறையை இடமளிக்க ஜெல்செமைனால் பெரிய அளவு பயன்படுத்தப்படுகிறது. 23-பிட் அல்லது 64-பிட் மற்றும் பயனருக்கு நிர்வாகி சலுகைகள் உள்ளதா இல்லையா என்பது போன்ற சமரசம் செய்யப்பட்ட பாதிக்கப்பட்டவரின் கட்டமைப்பின் படி துளிசொட்டியை Gelsemium APT சரிசெய்ய முடியும்.

அடுத்த கட்ட அச்சுறுத்தல் Gelsenicine ஆகும். Gelsevirine என்ற முக்கிய தொகுதியை மீட்டெடுத்து பின்னர் அதை இயக்குவதே இதன் முக்கிய பணியாகும். ஏற்றியின் சரியான நடத்தை பல காரணிகளின் அடிப்படையில் தீர்மானிக்கப்படுகிறது. பாதிக்கப்பட்டவருக்கு நிர்வாக உரிமைகள் இருந்தால், C:\Windows\System32\spool\prtprocs\x64\winprint.dll இன் கீழ் அடுத்த கட்ட மால்வேரின் சிதைந்த DLL ஐ Gelsenicine கைவிடும். தேவையான சலுகைகள் இல்லாமல், ஏற்றி அதற்குப் பதிலாக CommonAppData/Google/Chrome/Application/Library/ இருப்பிடத்தில் chrome_elf.dllஐ கைவிடும்.

Gelsemium தாக்குதலின் முக்கிய செருகுநிரல் Gelsevirine ஆகும். இது கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்துடன் தொடர்பு கொள்ள ஒரு சிக்கலான அமைப்பைப் பயன்படுத்துகிறது. ஒரு குறிப்பிட்ட உட்பொதிக்கப்பட்ட DLL தொடர்பை நிறுவும் போது ஒரு மனிதனாகச் செயல்படுகிறது. கூடுதலாக, tcp, udp, http மற்றும் https ஆகிய வெவ்வேறு நெறிமுறைகளைக் கையாள்வதில் ஒரு கட்டமைப்பு பணிபுரிகிறது. C&C தொடர்பாடலுக்கான கம்ப்ரஷன்-டிகம்ப்ரஷன் மாட்யூல், கோப்பு முறைமையை கையாளும் பிளக் மற்றும் தேர்ந்தெடுக்கப்பட்ட செயல்முறைகளில் டிஎல்எல்களை உட்செலுத்துவதை எளிதாக்கும் பல்வேறு செருகுநிரல்களை Gelsevirine மீட்டெடுப்பதை Infosec ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர்.

கூடுதல் Gelsemium இணைப்புகள்

Gelsemium APT குழுவிற்கும் BigNox க்கு எதிரான சப்ளை-செயின் தாக்குதலுக்கும் இடையே உள்ள சில தொடர்புகளை ஆராய்ச்சியாளர்கள் கண்டறிய முடிந்தது. PCகள் மற்றும் Macகளுக்கான ஆண்ட்ராய்டு முன்மாதிரியான NoxPlayer இன் அப்டேட் பொறிமுறையை ஹேக்கர்கள் சமரசம் செய்தனர்.

OwlProxy என்பது ஒரு சிதைந்த தொகுதியாகும், இது சில நடத்தைகளை வெளிப்படுத்துகிறது, இது Gelsemium மால்வேர் கருவிகளிலும் காணப்படுகிறது. மேலும் குறிப்பாக, சமரசம் செய்யப்பட்ட கணினியில் விண்டோஸ் பதிப்பைச் சோதிக்க அச்சுறுத்தல்கள் இதே போன்ற முறைகளைப் பயன்படுத்துகின்றன. Chrommme என பெயரிடப்பட்ட மற்றொரு தீம்பொருள் பின்கதவில் அதே வெளிப்படையான இணைப்புகள் இல்லை ஆனால் சில குறிகாட்டிகள் Gelsemium உடன் இணைப்பை நோக்கிச் செல்கின்றன. எல்லாவற்றிற்கும் மேலாக, Chrommme மற்றும் Gelseverine இரண்டும் அச்சுறுத்தல்களால் பயன்படுத்தப்படும் சேவையகங்களில் ஒன்றாக ஒரே C&C சேவையகத்தைப் பயன்படுத்துகின்றன. மேலும், Gelsemium ஆல் குறிவைக்கப்பட்ட ஒரு கணினியில் Chrommme இன் மாதிரி கண்டுபிடிக்கப்பட்டது.