Gelsemium APT

Gelsemium 是一個 APT（高級持久性威脅）組織，至少自 2014 年以來一直活躍。黑客已經對主要位於東亞和中東地區的目標進行了多次攻擊活動。他們的潛在受害者包括來自各種不同垂直領域的實體。迄今為止，Gelsemium APT 的受害者包括政府機構、電子製造商、宗教組織以及幾所大學。

惡意軟件工具包

Gelsemium APT 小組為其操作建立了多階段攻擊鏈。在攻破目標系統後，黑客會部署一個名為 Gelsemine 的 dropper 惡意軟件。這種惡意軟件類型的投放程序異常大，但它包含八個嵌入式可執行文件。 Gelsemine 使用大尺寸來容納允許威脅參與者修改威脅行為的複雜機制。 Gelsemium APT 可以根據受感染受害者的架構（23 位或 64 位）以及用戶是否具有管理員權限來調整釋放器。

下一階段的威脅是 Gelsenicine。它的主要任務是檢索一個名為Gelsevirine的主模塊，然後執行它。裝載機的確切行為取決於幾個因素。如果受害者俱有管理員權限，Gelsenicine 會將損壞的下一階段惡意軟件的 DLL 放到 C:\Windows\System32\spool\prtprocs\x64\winprint.dll 下。如果沒有必要的權限，加載程序將在 CommonAppData/Google/Chrome/Application/Library/ 位置放置一個 chrome_elf.dll。

Gelsevirine 是 Gelsemium 攻擊的主要插件。它在與命令和控制（C2、C&C）服務器的通信中使用複雜的設置。在建立聯繫時，特定的嵌入式 DLL 充當中間人。此外，配置的任務是處理不同的協議 - tcp、udp、http 和 https。 Infosec 研究人員觀察到 Gelsevirine 檢索不同的插件，包括用於 C&C 通信的壓縮-解壓縮模塊、用於操作文件系統的插件以及有助於將 DLL 注入選定進程的插件。

額外的 Gelsemium 連接

研究人員設法發現了 Gelsemium APT 組織與針對 BigNox 的供應鏈攻擊之間的某些聯繫。黑客破壞了適用於 PC 和 Mac 的 Android 模擬器 NoxPlayer 的更新機制。

OwlProxy 是一個損壞的模塊，它表現出在 Gelsemium 惡意軟件工具中也觀察到的某些行為。更具體地說，威脅使用類似的方法來測試受感染系統上的 Windows 版本。另一個名為 Chrommme 的惡意軟件後門沒有同樣明顯的聯繫，但某些指標指向與 Gelsemium 的聯繫。畢竟，Chrommme 和 Gelseverine 都使用相同的 C&C 服務器作為威脅使用的服務器之一。此外，在 Gelsemium 也針對的系統上發現了 Chrommme 樣本。