Gelsemium APT

Gelsemium 是一个 APT（高级持久性威胁）组织，至少自 2014 年以来一直活跃。黑客已经对主要位于东亚和中东地区的目标进行了多次攻击活动。他们的潜在受害者包括来自各种不同垂直领域的实体。迄今为止，Gelsemium APT 的受害者包括政府机构、电子制造商、宗教组织以及几所大学。

恶意软件工具包

Gelsemium APT 小组为其操作建立了多阶段攻击链。在攻破目标系统后，黑客会部署一个名为 Gelsemine 的 dropper 恶意软件。这种恶意软件类型的投放程序异常大，但它包含八个嵌入式可执行文件。 Gelsemine 使用大尺寸来容纳允许威胁参与者修改威胁行为的复杂机制。 Gelsemium APT 可以根据受感染受害者的架构（23 位或 64 位）以及用户是否具有管理员权限来调整释放器。

下一阶段的威胁是 Gelsenicine。它的主要任务是检索一个名为Gelsevirine的主模块，然后执行它。装载机的确切行为取决于几个因素。如果受害者具有管理员权限，Gelsenicine 会将损坏的下一阶段恶意软件的 DLL 放到 C:\Windows\System32\spool\prtprocs\x64\winprint.dll 下。如果没有必要的权限，加载程序将在 CommonAppData/Google/Chrome/Application/Library/ 位置放置一个 chrome_elf.dll。

Gelsevirine 是 Gelsemium 攻击的主要插件。它在与命令和控制（C2、C&C）服务器的通信中使用复杂的设置。在建立联系时，特定的嵌入式 DLL 充当中间人。此外，配置的任务是处理不同的协议 - tcp、udp、http 和 https。 Infosec 研究人员观察到 Gelsevirine 检索不同的插件，包括用于 C&C 通信的压缩-解压缩模块、用于操作文件系统的插件以及有助于将 DLL 注入选定进程的插件。

额外的 Gelsemium 连接

研究人员设法发现了 Gelsemium APT 组织与针对 BigNox 的供应链攻击之间的某些联系。黑客破坏了适用于 PC 和 Mac 的 Android 模拟器 NoxPlayer 的更新机制。

OwlProxy 是一个损坏的模块，它表现出在 Gelsemium 恶意软件工具中也观察到的某些行为。更具体地说，威胁使用类似的方法来测试受感染系统上的 Windows 版本。另一个名为 Chrommme 的恶意软件后门没有同样明显的联系，但某些指标指向与 Gelsemium 的联系。毕竟，Chrommme 和 Gelseverine 都使用相同的 C&C 服务器作为威胁使用的服务器之一。此外，在 Gelsemium 也针对的系统上发现了 Chrommme 样本。