Gelsemium APT

Ang Gelsemium ay isang pangkat ng APT (Advanced Persistence Threat) na naging aktibo mula noong hindi bababa sa 2014. Ang mga hacker ay nagsagawa ng maraming mga kampanya sa pag-atake laban sa mga target na matatagpuan sa mga rehiyon ng East Asia at Middle East na nakararami. Kabilang sa kanilang mga potensyal na biktima ay mga entity mula sa isang malawak na hanay ng iba't ibang mga vertical. Sa ngayon, ang mga biktima ng Gelsemium APT ay kinabibilangan ng mga ahensya ng gobyerno, mga tagagawa ng elektroniko, mga relihiyosong organisasyon, pati na rin ang ilang mga unibersidad.

Malware Toolkit

Ang grupong Gelsemium APT ay nagtatatag ng isang multi-stage attack chain para sa kanilang mga operasyon. Matapos labagin ang naka-target na sistema, ang mga hacker ay nag-deploy ng dropper malware na pinangalanang Gelsemine. Ang dropper ay hindi karaniwang malaki para sa ganitong uri ng malware ngunit may kasama itong walong naka-embed na executable. Ang malaking sukat ay ginagamit ng Gelsemine upang mapaunlakan ang isang sopistikadong mekanismo na nagpapahintulot sa aktor ng pagbabanta na baguhin ang pag-uugali ng pagbabanta. Maaaring isaayos ng Gelsemium APT ang dropper ayon sa arkitektura ng nakompromisong biktima - alinman sa 23-bit o 64-bit, at kung ang user ay may mga pribilehiyo ng administrator o wala.

Ang susunod na yugto ng banta ay Gelsenicine. Ang pangunahing gawain nito ay upang kunin ang isang pangunahing module na pinangalanang Gelsevirine at pagkatapos ay isagawa ito. Ang eksaktong pag-uugali ng loader ay tinutukoy batay sa ilang mga kadahilanan. Kung ang biktima ay may mga pribilehiyong pang-admin, ibababa ng Gelsenicine ang sirang DLL ng susunod na yugto ng malware sa ilalim ng C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Kung wala ang mga kinakailangang pribilehiyo, ang loader ay sa halip ay mag-drop ng chrome_elf.dll sa CommonAppData/Google/Chrome/Application/Library/ na lokasyon.

Ang Gelsevirine ay ang pangunahing plugin ng pag-atake ng Gelsemium. Gumagamit ito ng kumplikadong setup sa pakikipag-ugnayan nito sa Command-and-Control (C2, C&C) server. Ang isang partikular na naka-embed na DLL ay gumaganap bilang isang man-in-the-middle pagdating sa pagtatatag ng contact. Bilang karagdagan, ang isang config ay nakatalaga sa paghawak ng iba't ibang mga protocol - tcp, udp, http, at https. Naobserbahan ng mga mananaliksik ng Infosec ang Gelsevirine na kumukuha ng iba't ibang mga plug-in kabilang ang isang compression-decompression module para sa C&C na komunikasyon, isang plug-to manipulate ang file system at isa na nagpapadali sa pag-iniksyon ng mga DLL sa mga piling proseso.

Mga Karagdagang Koneksyon ng Gelsemium

Nagawa ng mga mananaliksik na tumuklas ng ilang partikular na ugnayan sa pagitan ng grupong Gelsemium APT at ng supply-chain attack laban sa BigNox. Nakompromiso ng mga hacker ang mekanismo ng pag-update ng NoxPlayer, isang Android emulator para sa mga PC at Mac.

Ang OwlProxy ay isang sirang module na nagpapakita ng ilang partikular na gawi na naobserbahan din sa mga tool ng malware ng Gelsemium. Higit na partikular, ang mga banta ay gumagamit ng mga katulad na pamamaraan upang subukan ang bersyon ng Windows sa nakompromisong system. Ang isa pang backdoor ng malware na pinangalanang Chrommme ay walang parehong halatang koneksyon ngunit ang ilang partikular na indicator ay tumuturo patungo sa isang link sa Gelsemium. Pagkatapos ng lahat, parehong ginagamit ng Chrommme at Gelseverine ang parehong C&C server bilang isa sa mga server na ginagamit ng mga pagbabanta. Higit pa rito, natuklasan ang isang sample ng Chrommme sa isang system na na-target din ng Gelsemium.