ゲルセミウムAPT
Gelsemium は Advanced Persistent Threat (APT) グループであり、そのキャンペーンは 2014 年にまで遡ることができます。犯罪者は、Gelsevirine と呼ばれる特注のインプラントを含むさまざまなマルウェアを使用します。彼らは、中東および東アジアの標的に対するいくつかの攻撃の背後にいますが、最も顕著なのは、BigNox に対するサプライ チェーン攻撃です。 Gelsemium APT の犯罪者は、政府、教育、電子機器、さらには宗教団体など、いくつかの分野に焦点を当てています。彼らの攻撃の主な目的は、侵入したネットワークからの長期的なスパイ活動とデータの引き出しです。
通常、Gelsemium APT 攻撃は複数段階のプロセスに従います。最終的に、その感染は、犯罪者が目標を達成するために必要なすべての機能を詰め込んだ Gelsevirine インプラントの展開で終わります。ただし、これに先立って、小さなカスタムのトロイの木馬ドロッパー (Gelsemine) とローダー (Gelsenicine) を使用して、感染が問題なく完了していることを確認する場合があります。
Gelsevirine は、Gelsemium APT の一部である開発者が提供する最も興味深いものです。内部的には MainPlugin と呼ばれるこの埋め込みにより、リモート コードの実行が可能になり、コマンド アンド コントロール サーバーにデータをサイレントに抽出することができます。
これまでのところ、Gelsemium APT は、犯罪者が 7 年以上現場にいることを考えると、ごく少数の犠牲者を標的にしてきたため、専門家による調査と分析が比較的困難でした。彼らのインプラントとインフラストラクチャの分析は、東アジアと中東で活動している他の既知の APT グループとわずかに重複していることを示しています。ただし、Gelsemium APT がより一般的な脅威アクターのサブグループであるかどうかを判断するのに十分な類似点はありません。