Gelsemium APT
Gelsemium - это группа Advanced Persistent Threat (APT), кампании которой можно проследить до 2014 года. Преступники используют широкий спектр вредоносных программ, включая специально созданный имплант под названием Gelsevirine. Они стояли за несколькими атаками на цели на Ближнем Востоке и в Восточной Азии, но наиболее заметной из них является атака цепочки поставок на BigNox. Преступники Gelsemium APT сосредоточены на нескольких секторах - правительстве, образовании, электронике и даже религиозных организациях. Основная цель их атак - долгосрочный шпионаж и кража данных из скомпрометированных сетей.
Обычно APT-атака Gelsemium проходит в несколько этапов. В конечном итоге его заражение заканчивается развертыванием имплантата Gelsevirine, который обладает всеми функциями, которые потребуются преступникам для достижения своих целей. Однако до этого они могут использовать небольшую настраиваемую троянскую программу-капельницу (Gelsemine) и загрузчик (Gelsenicine), чтобы гарантировать, что заражение завершится без сбоев.
Gelsevirine - безусловно, самая интересная вещь, которую могут предложить разработчики, которые являются частью Gelsemium APT. Этот имплант, называемый внутри MainPlugin, обеспечивает выполнение удаленного кода, а также возможность незаметно передавать данные на сервер Command-and-Control.
Пока что APT Gelsemium было относительно сложно исследовать и анализировать экспертами, поскольку преступники нацелены на очень небольшое количество жертв, учитывая, что они работают в этой области более семи лет. Анализ их имплантатов и инфраструктуры показывает незначительное совпадение с другими известными APT-группами, действующими в Восточной Азии и на Ближнем Востоке. Однако сходства недостаточно, чтобы определить, является ли APT Gelsemium подгруппой более популярных злоумышленников.