Gelsevirine

Gelsevirinie 由名为 Gelsemicine 的中间阶段加载器传送到受感染的机器。 Gelsevirinie 是 Gelsemium APT （高级持续威胁）组织在攻击中部署的最后阶段恶意软件模块。加载程序存在两种不同的版本，执行哪个版本取决于受感染用户是否具有管理权限。如果受害者具有所需的权限，Gelsevirine 将被放置在 C:\Windows\System32\spool\prtprocs\x64\winprint.dll 下，否则它将作为一个名为 chrome_elf.dll 的 DLL 传递到 CommonAppData/Google/Chrome/应用程序/库/位置。

一旦部署在目标系统上，Gelsevirine 就会启动一个复杂的设置，以达到并保持与其命令和控制服务器的通信。首先，它依赖于一个嵌入式 DLL 来执行中间人的角色。此外，一个单独的配置负责处理各种协议类型，例如 tcp、udp、http 和 https。

信息安全研究人员能够检测到由 Gelsevirine 获取和启动的几个插件，每个插件都带有不同的功能。 FxCoder 插件是一个压缩-解压工具，便于 C&C 通信。接下来是实用程序插件，能够操纵受感染设备上的文件系统。观察到的最后一个插件是 Inter——一种能够将 DLL 注入选定进程的工具。