Gelsemium APT

Gelsemium es un grupo APT (Advanced Persistence Threat) que ha estado activo desde al menos 2014. Los piratas informáticos han llevado a cabo múltiples campañas de ataque contra objetivos ubicados principalmente en las regiones de Asia Oriental y Medio Oriente. Entre sus víctimas potenciales se encuentran entidades de una amplia gama de diferentes verticales. Hasta ahora, las víctimas de Gelsemium APT incluyen agencias gubernamentales, fabricantes de productos electrónicos, organizaciones religiosas y varias universidades.

Kit de herramientas de malware

El grupo Gelsemium APT establece una cadena de ataque de múltiples etapas para sus operaciones. Después de violar el sistema objetivo, los piratas informáticos implementan un malware de cuentagotas llamado Gelsemine. El cuentagotas es inusualmente grande para este tipo de malware, pero incluye ocho ejecutables incrustados. Gelsemine utiliza el tamaño grande para acomodar un mecanismo sofisticado que permite al actor de la amenaza modificar el comportamiento de la amenaza. Gelsemium APT puede ajustar el cuentagotas de acuerdo con la arquitectura de la víctima comprometida, ya sea de 23 bits o de 64 bits, y si el usuario tiene privilegios de administrador o no.

La amenaza de la siguiente etapa es la gelsenicina. Su tarea principal es recuperar un módulo principal llamado Gelsevirine y luego ejecutarlo. El comportamiento exacto del cargador se determina en función de varios factores. Si la víctima tiene privilegios de administrador, Gelsenicine soltará la DLL dañada del malware de la siguiente etapa en C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll. Sin los privilegios necesarios, el cargador soltará un chrome_elf.dll en la ubicación CommonAppData / Google / Chrome / Application / Library /.

Gelsevirine es el complemento principal del ataque Gelsemium. Utiliza una configuración compleja en su comunicación con el servidor de Comando y Control (C2, C&C). Una DLL incrustada específica actúa como un intermediario cuando se trata de establecer contacto. Además, una configuración tiene la tarea de manejar los diferentes protocolos: tcp, udp, http y https. Los investigadores de Infosec han observado que Gelsevirine recupera diferentes complementos, incluido un módulo de compresión y descompresión para la comunicación C&C, un complemento para manipular el sistema de archivos y uno que facilita la inyección de archivos DLL en procesos seleccionados.

Conexiones de gelsemio adicionales

Los investigadores lograron descubrir ciertos vínculos entre el grupo Gelsemium APT y el ataque a la cadena de suministro contra BigNox. Los piratas informáticos comprometieron el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac.

OwlProxy es un módulo dañado que exhibe cierto comportamiento que también se ha observado en las herramientas de malware Gelsemium. Más específicamente, las amenazas utilizan métodos similares para probar la versión de Windows en el sistema comprometido. Otra puerta trasera de malware llamada Chrommme no tiene las mismas conexiones obvias, pero ciertos indicadores apuntan hacia un vínculo con Gelsemium. Después de todo, tanto Chrommme como Gelseverine usan el mismo servidor C&C que uno de los servidores empleados por las amenazas. Además, se descubrió una muestra de Chrommme en un sistema que también fue objetivo de Gelsemium.