Gelsemium APT
Gelsemium, en az 2014'ten beri aktif olan bir APT (Gelişmiş Kalıcı Tehdit) grubudur. Bilgisayar korsanları, ağırlıklı olarak Doğu Asya ve Orta Doğu bölgelerinde bulunan hedeflere karşı birden fazla saldırı kampanyası yürütmüştür. Potansiyel kurbanları arasında çok çeşitli farklı sektörlerden kuruluşlar var. Şimdiye kadar Gelsemium APT'nin kurbanları arasında devlet kurumları, elektronik üreticileri, dini kuruluşlar ve çeşitli üniversiteler yer alıyor.
Kötü Amaçlı Yazılım Araç Seti
Gelsemium APT grubu, operasyonları için çok aşamalı bir saldırı zinciri kurar. Hedeflenen sistemi ihlal ettikten sonra, bilgisayar korsanları Gelsemine adlı bir damlalık kötü amaçlı yazılımı dağıtır. Dropper, bu kötü amaçlı yazılım türü için alışılmadık derecede büyüktür, ancak sekiz adet yerleşik yürütülebilir dosya içerir. Büyük boyut, Gelsemine tarafından tehdit aktörünün tehdidin davranışını değiştirmesine izin veren karmaşık bir mekanizmayı barındırmak için kullanılır. Gelsemium APT, damlalığı, güvenliği ihlal edilen kurbanın mimarisine göre (23 bit veya 64 bit) ve kullanıcının yönetici ayrıcalıklarına sahip olup olmamasına göre ayarlayabilir.
Bir sonraki aşama tehdidi Gelsenicine'dir. Ana görevi, Gelsevirine adlı bir ana modülü almak ve ardından yürütmektir. Yükleyicinin kesin davranışı çeşitli faktörlere göre belirlenir. Kurbanın yönetici ayrıcalıkları varsa, Gelsenicine sonraki aşama kötü amaçlı yazılımın bozuk DLL dosyasını C:\Windows\System32\spool\prtprocs\x64\winprint.dll altına bırakır. Gerekli ayrıcalıklar olmadan, yükleyici bunun yerine CommonAppData/Google/Chrome/Application/Library/ konumuna bir chrome_elf.dll bırakacaktır.
Gelsevirine, Gelsemium saldırısının ana eklentisidir. Komuta ve Kontrol (C2, C&C) sunucusuyla iletişiminde karmaşık bir kurulum kullanır. Belirli bir gömülü DLL, temas kurma söz konusu olduğunda ortadaki adam gibi davranır. Ek olarak, bir yapılandırmaya farklı protokolleri (tcp, udp, http ve https) işleme görevi verilir. Infosec araştırmacıları, Gelsevirine'in C&C iletişimi için bir sıkıştırma-açma modülü, dosya sistemini manipüle etmek için bir eklenti ve belirli süreçlere DLL'lerin enjeksiyonunu kolaylaştıran bir eklenti dahil olmak üzere farklı eklentiler aldığını gözlemledi.
Ek Gelsemium Bağlantıları
Araştırmacılar, Gelsemium APT grubu ile BigNox'a yönelik tedarik zinciri saldırısı arasındaki belirli bağlantıları ortaya çıkarmayı başardılar. Bilgisayar korsanları, PC'ler ve Mac'ler için bir Android öykünücüsü olan NoxPlayer'ın güncelleme mekanizmasını tehlikeye attı.
OwlProxy, Gelsemium kötü amaçlı yazılım araçlarında da gözlemlenen belirli davranışları sergileyen bozuk bir modüldür. Daha spesifik olarak, tehditler, güvenliği ihlal edilmiş sistemdeki Windows sürümünü test etmek için benzer yöntemler kullanır. Chrommme adlı başka bir kötü amaçlı yazılım arka kapısı aynı bariz bağlantılara sahip değil, ancak belirli göstergeler Gelsemium ile bir bağlantıya işaret ediyor. Sonuçta hem Chrommme hem de Gelseverine, tehditlerin kullandığı sunuculardan biri olarak aynı C&C sunucusunu kullanıyor. Ayrıca, Gelsemium'un da hedef aldığı bir sistemde bir Chrommme örneği keşfedildi.
