Gelsevirine

Gelsevirinie, güvenliği ihlal edilmiş makinelere Gelsemicine adlı bir orta aşama yükleyici tarafından teslim edilir. Gelsevirinie, Gelsemium APT (Gelişmiş Kalıcı Tehdit) grubu tarafından yapılan saldırılarda dağıtılan son aşama kötü amaçlı yazılım modülüdür. Yükleyici iki farklı sürümde bulunur ve çalıştırılan sürüm, virüslü kullanıcının yönetici ayrıcalıklarına sahip olup olmamasına bağlıdır. Kurban gerekli ayrıcalıklara sahipse, Gelsevirine C:\Windows\System32\spool\prtprocs\x64\winprint.dll altına bırakılacak, aksi takdirde CommonAppData/Google/Chrome/Uygulama/Kütüphane/konum içinde chrome_elf.dll adlı bir DLL olarak teslim edilecektir.

Hedeflenen sistemde konuşlandırıldıktan sonra Gelsevirine, Komuta ve Kontrol sunucusuyla iletişime ulaşmak ve iletişimi sürdürmek için karmaşık bir kurulum başlatır. İlk olarak, ortadaki adam rolünü gerçekleştirmek için gömülü bir DLL'ye güvenir. Ek olarak, tcp, udp, http ve https gibi çeşitli protokol türlerinin işlenmesinden ayrı bir yapılandırma sorumludur.

Infosec araştırmacıları, Gelsevirine tarafından getirilen ve başlatılan, her biri farklı bir işlevsellik taşıyan birkaç eklentiyi tespit edebildi. FxCoder eklentisi, C&C iletişimini kolaylaştıran bir sıkıştırma-açma aracıdır. Ardından, güvenliği ihlal edilmiş aygıttaki dosya sistemini manipüle edebilen Yardımcı Program eklentisi var. Gözlenen eklentilerin sonuncusu, DLL'lerin seçilen işlemlere enjekte edilmesini sağlayan bir araç olan Inter'dir.