Gelsevirine

Gelsevirinie は、Gelsemicine という名前の中間段階のローダーによって侵害されたマシンに配信されます。 Gelsevirinie は、Gelsemium APT (Advanced Persistent Threat) グループによる攻撃で展開される最終段階のマルウェア モジュールです。ローダーには 2 つの異なるバージョンがあり、実行されるバージョンは、感染したユーザーが管理者権限を持っているかどうかによって異なります。被害者が必要な権限を持っている場合、Gelsevirine は C:\Windows\System32\spool\prtprocs\x64\winprint.dll の下にドロップされます。アプリケーション/ライブラリ/場所。

ターゲット システムに展開されると、Gelsevirine はコマンド アンド コントロール サーバーに到達して通信を維持するための複雑なセットアップを開始します。まず、埋め込み DLL に依存して中間者の役割を果たします。さらに、tcp、udp、http、https などのさまざまなプロトコル タイプを処理するために、個別の構成が必要です。

Infosec の研究者は、Gelsevirine によってフェッチされ、開始されたいくつかのプラグインを検出することができました。それぞれが異なる機能を持っています。 FxCoder プラグインは、C&C 通信を容易にする圧縮/解凍ツールです。次に、侵入先のデバイス上のファイル システムを操作できるユーティリティ プラグインがあります。観察された最後のプラグインは、選択されたプロセスへの DLL の挿入を可能にするツールである Inter です。