海参APT
Gelsemium 是一个高级持续性威胁 (APT) 组织,其活动可以追溯到 2014 年。犯罪分子使用范围广泛的恶意软件,包括一种名为 Gelsevirine 的定制植入物。他们曾多次参与针对中东和东亚目标的攻击,但其中最引人注目的是针对 BigNox 的供应链攻击。 Gelsemium APT 犯罪分子集中在多个部门——政府、教育、电子甚至宗教组织。他们攻击的主要目标是从受感染网络中进行长期间谍活动和数据泄露。
通常,Gelsemium APT 攻击遵循多阶段过程。最终,它的感染以 Gelsevirine 植入物的部署结束,该植入物包含了犯罪分子实现其目标所需的所有功能。但是,在此之前,他们可能会使用一个小型的自定义木马滴管 (Gelsemine) 和加载程序 (Gelsenicine) 来确保感染顺利完成。
Gelsevirine 是迄今为止来自 Gelsemium APT 一部分的开发人员最有趣的东西。该植入程序在内部称为 MainPlugin,能够执行远程代码,并能够以静默方式将数据泄露到命令和控制服务器。
到目前为止,考虑到犯罪分子已经在该领域工作了七年多,他们针对极少数受害者,因此专家研究和分析 Gelsemium APT 相对困难。对他们的植入物和基础设施的分析表明,与在东亚和中东运营的其他已知 APT 集团有轻微的重叠。但是,没有足够的相似性来确定 Gelsemium APT 是否是更受欢迎的威胁行为者的一个子组。