జెల్సేమియం APT

Gelsemium అనేది APT (అడ్వాన్స్‌డ్ పెర్సిస్టెన్స్ థ్రెట్) గ్రూప్, ఇది కనీసం 2014 నుండి క్రియాశీలంగా ఉంది. హ్యాకర్లు ప్రధానంగా తూర్పు ఆసియా మరియు మధ్యప్రాచ్య ప్రాంతాలలో ఉన్న లక్ష్యాలపై అనేక దాడి ప్రచారాలను చేపట్టారు. వారి సంభావ్య బాధితులలో విస్తృత శ్రేణి విభిన్న నిలువుల నుండి ఎంటిటీలు ఉన్నాయి. ఇప్పటివరకు Gelsemium APT బాధితుల్లో ప్రభుత్వ సంస్థలు, ఎలక్ట్రానిక్ తయారీదారులు, మతపరమైన సంస్థలు, అలాగే అనేక విశ్వవిద్యాలయాలు ఉన్నాయి.

మాల్వేర్ టూల్‌కిట్

Gelsemium APT సమూహం వారి కార్యకలాపాల కోసం బహుళ-దశల దాడి గొలుసును ఏర్పాటు చేస్తుంది. టార్గెటెడ్ సిస్టమ్‌ను ఉల్లంఘించిన తర్వాత, హ్యాకర్లు జెల్సెమైన్ అనే డ్రాపర్ మాల్వేర్‌ను అమలు చేస్తారు. ఈ మాల్వేర్ రకానికి డ్రాపర్ అసాధారణంగా పెద్దది కానీ ఇందులో ఎనిమిది ఎంబెడెడ్ ఎగ్జిక్యూటబుల్స్ ఉన్నాయి. ముప్పు యొక్క ప్రవర్తనను సవరించడానికి ముప్పు నటుడిని అనుమతించే అధునాతన యంత్రాంగానికి అనుగుణంగా పెద్ద పరిమాణాన్ని గెల్సెమైన్ ఉపయోగిస్తుంది. Gelsemium APT, రాజీపడిన బాధితుడి నిర్మాణ శైలికి అనుగుణంగా డ్రాపర్‌ను సర్దుబాటు చేయగలదు - 23-బిట్ లేదా 64-బిట్, మరియు వినియోగదారుకు నిర్వాహక అధికారాలు ఉన్నాయా లేదా.

తదుపరి దశ ముప్పు జెల్సెనిసిన్. దీని ప్రధాన పని Gelsevirine అనే ప్రధాన మాడ్యూల్‌ను తిరిగి పొందడం మరియు దానిని అమలు చేయడం. లోడర్ యొక్క ఖచ్చితమైన ప్రవర్తన అనేక అంశాల ఆధారంగా నిర్ణయించబడుతుంది. బాధితుడు నిర్వాహక అధికారాలను కలిగి ఉన్నట్లయితే, C:\Windows\System32\spool\prtprocs\x64\winprint.dll క్రింద Gelsenicine తదుపరి దశ మాల్వేర్ యొక్క పాడైన DLLని వదిలివేస్తుంది. అవసరమైన అధికారాలు లేకుండా, లోడర్ బదులుగా CommonAppData/Google/Chrome/Application/Library/లొకేషన్‌లో chrome_elf.dllని డ్రాప్ చేస్తుంది.

Gelsemium దాడికి Gelsevirine ప్రధాన ప్లగ్ఇన్. ఇది కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌తో దాని కమ్యూనికేషన్‌లో సంక్లిష్టమైన సెటప్‌ను ఉపయోగిస్తుంది. ఒక నిర్దిష్ట ఎంబెడెడ్ DLL పరిచయాన్ని ఏర్పరచుకోవడానికి వచ్చినప్పుడు మనిషి-ఇన్-ది-మిడిల్‌గా పనిచేస్తుంది. అదనంగా, వివిధ ప్రోటోకాల్‌లను నిర్వహించడానికి ఒక కాన్ఫిగర్ బాధ్యత వహిస్తుంది - tcp, udp, http మరియు https. ఇన్ఫోసెక్ పరిశోధకులు C&C కమ్యూనికేషన్ కోసం కంప్రెషన్-డికంప్రెషన్ మాడ్యూల్, ఫైల్ సిస్టమ్‌ను మానిప్యులేట్ చేయడానికి ఒక ప్లగ్ మరియు ఎంచుకున్న ప్రక్రియలలోకి DLLలను ఇంజెక్షన్ చేయడంలో సులభతరం చేసే వివిధ ప్లగ్-ఇన్‌లతో సహా Gelsevirine వివిధ ప్లగ్-ఇన్‌లను తిరిగి పొందడాన్ని గమనించారు.

అదనపు జెల్సేమియం కనెక్షన్లు

Gelsemium APT సమూహం మరియు BigNoxకి వ్యతిరేకంగా సరఫరా-గొలుసు దాడి మధ్య కొన్ని లింక్‌లను పరిశోధకులు కనుగొనగలిగారు. PCలు మరియు Macల కోసం Android ఎమ్యులేటర్ అయిన NoxPlayer యొక్క అప్‌డేట్ మెకానిజంను హ్యాకర్లు రాజీ పడ్డారు.

OwlProxy అనేది పాడైన మాడ్యూల్, ఇది Gelsemium మాల్వేర్ టూల్స్‌లో కూడా గమనించబడిన నిర్దిష్ట ప్రవర్తనను ప్రదర్శిస్తుంది. మరింత ప్రత్యేకంగా, రాజీపడిన సిస్టమ్‌లో విండోస్ వెర్షన్‌ను పరీక్షించడానికి బెదిరింపులు ఇలాంటి పద్ధతులను ఉపయోగిస్తాయి. Chrommme అనే మరో మాల్వేర్ బ్యాక్‌డోర్‌లో ఒకే విధమైన స్పష్టమైన కనెక్షన్‌లు లేవు కానీ నిర్దిష్ట సూచికలు Gelsemiumతో లింక్‌ను సూచిస్తాయి. Chrommme మరియు Gelseverine రెండూ ఒకే C&C సర్వర్‌ని బెదిరింపుల ద్వారా ఉపయోగించబడిన సర్వర్‌లలో ఒకటిగా ఉపయోగిస్తాయి. ఇంకా, Gelsemium కూడా లక్ష్యంగా చేసుకున్న సిస్టమ్‌లో Chrommme యొక్క నమూనా కనుగొనబడింది.