Gelsemium APT

Gelsemium to grupa Advanced Persistent Threat (APT), której kampanie sięgają 2014 roku. Przestępcy wykorzystują szeroką gamę złośliwego oprogramowania, w tym specjalnie skonstruowany implant o nazwie Gelsevirine. Stali za kilkoma atakami na cele na Bliskim Wschodzie i w Azji Wschodniej, ale najważniejszym z nich jest atak łańcucha dostaw na BigNox. Przestępcy Gelsemium APT skupiają się na kilku sektorach – rządzie, edukacji, elektronice, a nawet organizacjach religijnych. Głównym celem ich ataków jest długoterminowe szpiegostwo i eksfiltracja danych z zaatakowanych sieci.

Zazwyczaj atak Gelsemium APT następuje po wieloetapowym procesie. Ostatecznie jego infekcja kończy się wdrożeniem implantu Gelsevirine, który zawiera wszystkie funkcje, których przestępcy potrzebowaliby, aby osiągnąć swoje cele. Jednak wcześniej mogą używać małego, niestandardowego droppera trojańskiego (Gelsemine) i programu ładującego (Gelsenicine), aby zapewnić, że infekcja przebiegnie bez problemów.

Gelsevirine jest zdecydowanie najbardziej interesującą rzeczą pochodzącą od twórców będących częścią Gelsemium APT. Implant ten, określany wewnętrznie jako MainPlugin, umożliwia zdalne wykonanie kodu, a także umożliwia cichą eksfiltrację danych na serwer Command-and-Control.

Jak dotąd, badanie i analiza Gelsemium APT było stosunkowo trudne do zbadania przez ekspertów, ponieważ przestępcy namierzyli bardzo niewielką liczbę ofiar, biorąc pod uwagę, że są one w terenie od ponad siedmiu lat. Analiza ich implantów i infrastruktury wskazuje na niewielkie pokrywanie się z innymi znanymi grupami APT działającymi w Azji Wschodniej i na Bliskim Wschodzie. Jednak nie ma wystarczających podobieństw, aby określić, czy Gelsemium APT jest podgrupą bardziej popularnego cyberprzestępcy.