Gelsemium APT

Gelsemium ist eine seit mindestens 2014 aktive APT-Gruppe (Advanced Persistence Threat). Die Hacker haben mehrere Angriffskampagnen gegen Ziele vor allem in Ostasien und den Regionen des Nahen Ostens durchgeführt. Zu ihren potenziellen Opfern zählen Unternehmen aus den unterschiedlichsten Branchen. Zu den Opfern von Gelsemium APT gehören bisher Regierungsbehörden, Elektronikhersteller, religiöse Organisationen sowie mehrere Universitäten.

Malware-Toolkit

Die Gelsemium APT-Gruppe baut für ihre Operationen eine mehrstufige Angriffskette auf. Nach dem Eindringen in das Zielsystem setzen die Hacker eine Dropper-Malware namens Gelsemine ein. Der Dropper ist für diesen Malware-Typ ungewöhnlich groß, enthält jedoch acht eingebettete ausführbare Dateien. Die große Größe wird von Gelsemine verwendet, um einen ausgeklügelten Mechanismus unterzubringen, der es dem Bedrohungsakteur ermöglicht, das Verhalten der Bedrohung zu ändern. Das Gelsemium APT kann den Dropper entsprechend der Architektur des kompromittierten Opfers anpassen - entweder 23-Bit oder 64-Bit und ob der Benutzer über Administratorrechte verfügt oder nicht.

Die Bedrohung der nächsten Stufe ist Gelsenicin. Seine Hauptaufgabe besteht darin, ein Hauptmodul namens Gelsevirine abzurufen und dann auszuführen. Das genaue Verhalten des Laders wird anhand mehrerer Faktoren bestimmt. Wenn das Opfer über Administratorrechte verfügt, legt Gelsenicine die beschädigte DLL der Malware der nächsten Stufe unter C:\Windows\System32\spool\prtprocs\x64\winprint.dll ab. Ohne die erforderlichen Berechtigungen legt der Loader stattdessen eine chrome_elf.dll am Speicherort CommonAppData/Google/Chrome/Application/Library/ ab.

Gelsevirinе ist das Haupt-Plugin des Gelsemium-Angriffs. Es verwendet ein komplexes Setup in seiner Kommunikation mit dem Command-and-Control (C2, C&C) Server. Eine spezielle eingebettete DLL fungiert als Man-in-the-Middle bei der Kontaktaufnahme. Darüber hinaus hat eine Config die Aufgabe, die verschiedenen Protokolle zu handhaben - tcp, udp, http und https. Forscher von Infosec haben beobachtet, dass Gelsevirine verschiedene Plug-Ins abruft, darunter ein Komprimierungs-Dekomprimierungs-Modul für die C&C-Kommunikation, ein Plug-In zur Manipulation des Dateisystems und eines, das die Injektion von DLLs in ausgewählte Prozesse erleichtert.

Zusätzliche Gelsemium-Verbindungen

Den Forschern ist es gelungen, bestimmte Verbindungen zwischen der Gelsemium APT-Gruppe und dem Supply-Chain-Angriff auf BigNox aufzudecken. Die Hacker haben den Update-Mechanismus von NoxPlayer, einem Android-Emulator für PCs und Macs, kompromittiert.

OwlProxy ist ein beschädigtes Modul, das ein bestimmtes Verhalten zeigt, das auch in den Gelsemium-Malware-Tools beobachtet wurde. Genauer gesagt verwenden die Bedrohungen ähnliche Methoden, um die Windows-Version auf dem kompromittierten System zu testen. Eine andere Malware-Hintertür namens Chrommme hat nicht die gleichen offensichtlichen Verbindungen, aber bestimmte Indikatoren deuten auf eine Verbindung mit Gelsemium hin. Immerhin verwenden sowohl Chrommme als auch Gelseverine denselben C&C-Server als einen der Server, die von den Bedrohungen verwendet werden. Außerdem wurde eine Probe von Chrommme auf einem System entdeckt, das ebenfalls von Gelsemium ins Visier genommen wurde.