Gelsemium APT

Gelsemium — це група APT (Advanced Persistence Threat), яка діє щонайменше з 2014 року. Хакери провели кілька кампаній атак проти цілей, розташованих переважно в регіонах Східної Азії та Близького Сходу. Серед їхніх потенційних жертв є організації з широкого кола різних вертикалей. Поки що жертвами Gelsemium APT є державні установи, виробники електроніки, релігійні організації, а також кілька університетів.

Набір зловмисних програм

Група Gelsemium APT створює багатоетапний ланцюг атак для своїх операцій. Після зламу цільової системи хакери розгортають зловмисне програмне забезпечення під назвою Gelsemine. Дропер надзвичайно великий для цього типу шкідливого програмного забезпечення, але він містить вісім вбудованих виконуваних файлів. Великий розмір використовується Gelsemine для розміщення складного механізму, який дозволяє учаснику загрози змінювати поведінку загрози. Gelsemium APT може налаштувати дроппер відповідно до архітектури скомпрометованої жертви - 23-розрядної або 64-розрядної, а також від наявності у користувача прав адміністратора чи ні.

Наступна загроза — гельсеніцин. Його головне завдання - отримати основний модуль з ім'ям Gelsevirine і потім виконати його. Точна поведінка навантажувача визначається на основі кількох факторів. Якщо жертва має права адміністратора, Gelsenicine видалить пошкоджену DLL наступної стадії шкідливого програмного забезпечення в папку C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Не маючи необхідних привілеїв, завантажувач натомість перекине chrome_elf.dll у розташування CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine є основним плагіном атаки Gelsemium. Він використовує складну конфігурацію для зв’язку з сервером командування й керування (C2, C&C). Конкретна вбудована DLL діє як людина посередині, коли справа доходить до встановлення контакту. Крім того, конфігурація має завдання обробляти різні протоколи - tcp, udp, http і https. Дослідники Infosec спостерігали, як Gelsevirine отримує різні плагіни, включаючи модуль стиснення-декомпресії для зв’язку C&C, плагін для маніпулювання файловою системою та той, який полегшує ін’єкцію DLL у вибрані процеси.

Додаткові з'єднання Gelsemium

Дослідникам вдалося виявити певні зв’язки між групою Gelsemium APT і атакою ланцюга поставок на BigNox. Хакери зламали механізм оновлення NoxPlayer, емулятора Android для ПК та Mac.

OwlProxy — це пошкоджений модуль, який демонструє певну поведінку, яка також спостерігається в інструментах шкідливого програмного забезпечення Gelsemium. Точніше, загрози використовують подібні методи для перевірки версії Windows на зламаній системі. Інший бекдор зловмисного програмного забезпечення на ім’я Chrommme не має таких очевидних зв’язків, але певні показники вказують на зв’язок із Gelsemium. Зрештою, і Chrommme, і Gelseverine використовують той самий C&C-сервер як один із серверів, які використовуються для загроз. Крім того, зразок Chrommme був виявлений в системі, яка також була мішенню Gelsemium.