Gelsemium APT

Gelsemium là một nhóm APT (Mối đe dọa bền vững nâng cao) đã hoạt động ít nhất từ năm 2014. Các tin tặc đã thực hiện nhiều chiến dịch tấn công nhằm vào các mục tiêu chủ yếu ở Đông Á và Trung Đông. Trong số các nạn nhân tiềm năng của chúng có các thực thể từ nhiều ngành dọc khác nhau. Cho đến nay nạn nhân của Gelsemium APT bao gồm các cơ quan chính phủ, nhà sản xuất điện tử, tổ chức tôn giáo, cũng như một số trường đại học.

Bộ công cụ phần mềm độc hại

Nhóm Gelsemium APT thiết lập một chuỗi tấn công nhiều giai đoạn cho các hoạt động của họ. Sau khi xâm phạm hệ thống được nhắm mục tiêu, các tin tặc triển khai phần mềm độc hại nhỏ giọt có tên Gelsemine. Ống nhỏ giọt lớn bất thường đối với loại phần mềm độc hại này nhưng nó bao gồm tám tệp thực thi được nhúng. Kích thước lớn được Gelsemine sử dụng để chứa một cơ chế tinh vi cho phép tác nhân đe dọa sửa đổi hành vi của mối đe dọa. Gelsemium APT có thể điều chỉnh ống nhỏ giọt theo kiến trúc của nạn nhân bị xâm phạm - 23-bit hoặc 64-bit và cho dù người dùng có đặc quyền quản trị viên hay không.

Mối đe dọa ở giai đoạn tiếp theo là Gelsenicine. Nhiệm vụ chính của nó là lấy một mô-đun chính có tên là Gelsevirine và sau đó thực thi nó. Hoạt động chính xác của bộ nạp được xác định dựa trên một số yếu tố. Nếu nạn nhân có đặc quyền quản trị viên, Gelsenicine sẽ loại bỏ DLL bị hỏng của phần mềm độc hại giai đoạn tiếp theo trong C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. Nếu không có các đặc quyền cần thiết, thay vào đó, trình tải sẽ thả chrome_elf.dll vào CommonAppData / Google / Chrome / Application / Library / vị trí.

Gelsevirine là plugin chính của cuộc tấn công Gelsemium. Nó sử dụng một thiết lập phức tạp trong giao tiếp với máy chủ Command-and-Control (C2, C&C). Một DLL nhúng cụ thể hoạt động như một người trung gian khi cần thiết lập liên hệ. Ngoài ra, một cấu hình có nhiệm vụ xử lý các giao thức khác nhau - tcp, udp, http và https. Các nhà nghiên cứu Infosec đã quan sát thấy Gelsevirine truy xuất các trình cắm thêm khác nhau bao gồm một mô-đun giải nén nén cho giao tiếp C&C, một trình cắm để thao tác hệ thống tệp và một mô-đun tạo điều kiện cho việc đưa các tệp DLL vào các quy trình được chọn.

Kết nối Gelsemium bổ sung

Các nhà nghiên cứu đã tìm ra những mối liên hệ nhất định giữa nhóm Gelsemium APT và cuộc tấn công chuỗi cung ứng chống lại BigNox. Các tin tặc đã xâm phạm cơ chế cập nhật của NoxPlayer, một trình giả lập Android dành cho PC và Mac.

OwlProxy là một mô-đun bị hỏng thể hiện một số hành vi nhất định cũng đã được quan sát thấy trong các công cụ phần mềm độc hại Gelsemium. Cụ thể hơn, các mối đe dọa sử dụng các phương pháp tương tự để kiểm tra phiên bản Windows trên hệ thống bị xâm nhập. Một backdoor phần mềm độc hại khác có tên Chrommme không có các kết nối rõ ràng giống nhau nhưng một số chỉ báo nhất định hướng đến một liên kết với Gelsemium. Sau tất cả, cả Chrommme và Gelseverine đều sử dụng cùng một máy chủ C&C như một trong những máy chủ được các mối đe dọa sử dụng. Hơn nữa, một mẫu Chrommme đã được phát hiện trên một hệ thống cũng là mục tiêu của Gelsemium.