Gelsemium APT

Gelsemium は、少なくとも 2014 年から活動している APT (Advanced Persistence Threat) グループです。ハッカーは、主に東アジアと中東地域にあるターゲットに対して複数の攻撃キャンペーンを実行しています。彼らの潜在的な犠牲者の中には、さまざまな業種のエンティティが含まれます。これまで、Gelsemium APT の被害者には、政府機関、電子機器メーカー、宗教団体、およびいくつかの大学が含まれています。

マルウェア ツールキット

Gelsemium APT グループは、運用のために多段階の攻撃チェーンを確立します。標的のシステムに侵入した後、ハッカーは Gelsemine という名前のドロッパー マルウェアを展開します。ドロッパーは、このマルウェア タイプとしては異常に大きいですが、8 つの埋め込まれた実行可能ファイルが含まれています。 Gelsemine は、攻撃者が脅威の動作を変更できる洗練されたメカニズムに対応するために、大きなサイズを使用します。 Gelsemium APT は、侵害された被害者のアーキテクチャ (23 ビットまたは 64 ビット)、およびユーザーに管理者権限があるかどうかに応じてドロッパーを調整できます。

次の段階の脅威は、Gelsenicine です。その主なタスクは、Gelsevirineという名前のメイン モジュールを取得して実行することです。ローダーの正確な動作は、いくつかの要因に基づいて決定されます。被害者が管理者権限を持っている場合、Gelsenicine は次の段階のマルウェアの破損した DLL を C:\Windows\System32\spool\prtprocs\x64\winprint.dll にドロップします。必要な権限がない場合、ローダーは代わりに CommonAppData/Google/Chrome/Application/Library/ の場所に chrome_elf.dll をドロップします。

Gelsevirine は Gelsemium 攻撃のメイン プラグインです。コマンド アンド コントロール (C2、C&C) サーバーとの通信では、複雑なセットアップを使用します。特定の埋め込み DLL は、接続の確立に関しては中間者として機能します。さらに、構成には、tcp、udp、http、https などのさまざまなプロトコルの処理が課されます。 Infosec の研究者は、Gelsevirine が C&C 通信用の圧縮解凍モジュール、ファイル システムを操作するためのプラグ、選択したプロセスへの DLL の挿入を容易にするプラグインなど、さまざまなプラグインを取得することを確認しました。

追加のゲルセミウム接続

研究者は、Gelsemium APT グループと BigNox に対するサプライ チェーン攻撃との間の特定の関連を明らかにすることに成功しました。ハッカーは、PC および Mac 用の Android エミュレーターである NoxPlayer の更新メカニズムを侵害しました。

OwlProxy は破損したモジュールであり、Gelsemium マルウェア ツールでも確認されている特定の動作を示します。具体的には、脅威は同様の方法を使用して、侵害されたシステムで Windows バージョンをテストします。 Chrommme という名前の別のマルウェア バックドアには、同じ明確な接続はありませんが、特定の指標は Gelsemium とのリンクを示しています。結局のところ、Chrommme と Gelseverine の両方が、脅威が使用するサーバーの 1 つとして同じ C&C サーバーを使用しています。さらに、Chrommme のサンプルが、同じく Gelsemium の標的となったシステム上で発見されました。