เจลเซเมียม APT

Gelsemium เป็นกลุ่ม APT (Advanced Persistence Threat) ที่มีการใช้งานอย่างน้อยตั้งแต่ปี 2014 แฮกเกอร์ได้ดำเนินการแคมเปญโจมตีหลายครั้งต่อเป้าหมายที่ตั้งอยู่ในเอเชียตะวันออกและภูมิภาคตะวันออกกลางเป็นส่วนใหญ่ ในบรรดาผู้ที่อาจเป็นเหยื่อของพวกเขาคือหน่วยงานจากหลากหลายแนวดิ่งที่แตกต่างกัน จนถึงตอนนี้ เหยื่อของ Gelsemium APT ได้แก่ หน่วยงานของรัฐ ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ องค์กรทางศาสนา และมหาวิทยาลัยหลายแห่ง

ชุดเครื่องมือมัลแวร์

กลุ่ม Gelsemium APT สร้างห่วงโซ่การโจมตีแบบหลายขั้นตอนสำหรับการปฏิบัติงาน หลังจากเจาะระบบเป้าหมายแล้ว แฮ็กเกอร์จะติดตั้งมัลแวร์หยดชื่อ Gelsemine ดรอปเปอร์มีขนาดใหญ่ผิดปกติสำหรับมัลแวร์ประเภทนี้ แต่มีไฟล์ปฏิบัติการที่ฝังอยู่แปดตัว ขนาดใหญ่ถูกใช้โดย Gelsemine เพื่อรองรับกลไกที่ซับซ้อนที่ช่วยให้ผู้คุกคามสามารถปรับเปลี่ยนพฤติกรรมของภัยคุกคามได้ Gelsemium APT สามารถปรับหยดได้ตามสถาปัตยกรรมของเหยื่อที่ถูกบุกรุก - ทั้งแบบ 23 บิตหรือ 64 บิต และไม่ว่าผู้ใช้จะมีสิทธิ์ของผู้ดูแลระบบหรือไม่

ภัยคุกคามขั้นต่อไปคือ Gelsenicine งานหลักคือการดึงโมดูลหลักที่ชื่อ Gelsevirine แล้วดำเนินการ ลักษณะการทำงานที่แน่นอนของตัวโหลดนั้นพิจารณาจากปัจจัยหลายประการ หากเหยื่อมีสิทธิ์ของผู้ดูแลระบบ Gelsenicine จะลบ DLL ที่เสียหายของมัลแวร์ขั้นต่อไปภายใต้ C:\Windows\System32\spool\prtprocs\x64\winprint.dll หากไม่มีสิทธิ์ที่จำเป็น ตัวโหลดจะวาง chrome_elf.dll ในตำแหน่ง CommonAppData/Google/Chrome/Application/Library/

Gelsevirine เป็นปลั๊กอินหลักของการโจมตี Gelsemium ใช้การตั้งค่าที่ซับซ้อนในการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) DLL แบบฝังตัวที่เจาะจงทำหน้าที่เป็นตัวกลางในการสร้างการติดต่อ นอกจากนี้ การกำหนดค่ายังได้รับมอบหมายให้จัดการโปรโตคอลต่างๆ เช่น tcp, udp, http และ https นักวิจัยของ Infosec สังเกตเห็นว่า Gelsevirine ดึงข้อมูลปลั๊กอินต่างๆ รวมถึงโมดูลการบีบอัดและคลายการบีบอัดสำหรับการสื่อสาร C&C ปลั๊กอินสำหรับจัดการระบบไฟล์ และอีกตัวที่อำนวยความสะดวกในการฉีด DLL ลงในกระบวนการที่เลือก

การเชื่อมต่อ Gelsemium เพิ่มเติม

นักวิจัยสามารถค้นพบความเชื่อมโยงระหว่างกลุ่ม Gelsemium APT และการโจมตีห่วงโซ่อุปทานกับ BigNox แฮกเกอร์บุกรุกกลไกการอัปเดตของ NoxPlayer ซึ่งเป็นโปรแกรมจำลอง Android สำหรับพีซีและ Mac

OwlProxy เป็นโมดูลที่เสียหายซึ่งแสดงพฤติกรรมบางอย่างที่ได้รับการสังเกตในเครื่องมือมัลแวร์ Gelsemium โดยเฉพาะอย่างยิ่ง ภัยคุกคามใช้วิธีการที่คล้ายกันเพื่อทดสอบเวอร์ชัน Windows ในระบบที่ถูกบุกรุก แบ็คดอร์มัลแวร์อีกตัวที่ชื่อ Chrommme ไม่มีการเชื่อมต่อที่ชัดเจนเหมือนกัน แต่มีตัวบ่งชี้บางอย่างชี้ไปที่ลิงก์กับ Gelsemium หลังจากที่ทั้ง Chrommme และ Gelseverine ใช้เซิร์ฟเวอร์ C&C เดียวกันเป็นหนึ่งในเซิร์ฟเวอร์ที่ใช้โดยภัยคุกคาม นอกจากนี้ ตัวอย่างของ Chrommme ถูกค้นพบในระบบที่ Gelsemium กำหนดเป้าหมายด้วย