Gelsevirine

Gelsevirinie 由名為 Gelsemicine 的中間階段加載器傳送到受感染的機器。 Gelsevirinie 是 Gelsemium APT （高級持續威脅）組織在攻擊中部署的最後階段惡意軟件模塊。加載程序存在兩種不同的版本，執行哪個版本取決於受感染用戶是否具有管理權限。如果受害者俱有所需的權限，Gelsevirine 將被放置在 C:\Windows\System32\spool\prtprocs\x64\winprint.dll 下，否則它將作為一個名為 chrome_elf.dll 的 DLL 傳遞到 CommonAppData/Google/Chrome/應用程序/庫/位置。

一旦部署在目標系統上，Gelsevirine 就會啟動一個複雜的設置，以達到並保持與其命令和控制服務器的通信。首先，它依賴於一個嵌入式 DLL 來執行中間人的角色。此外，一個單獨的配置負責處理各種協議類型，例如 tcp、udp、http 和 https。

信息安全研究人員能夠檢測到由 Gelsevirine 獲取和啟動的幾個插件，每個插件都帶有不同的功能。 FxCoder 插件是一個壓縮-解壓工具，便於 C&C 通信。接下來是實用程序插件，能夠操縱受感染設備上的文件系統。觀察到的最後一個插件是 Inter——一種能夠將 DLL 注入選定進程的工具。