海參APT
Gelsemium 是一個高級持續性威脅 (APT) 組織,其活動可以追溯到 2014 年。犯罪分子使用範圍廣泛的惡意軟件,包括一種名為 Gelsevirine 的定制植入物。他們曾多次參與針對中東和東亞目標的攻擊,但其中最引人注目的是針對 BigNox 的供應鏈攻擊。 Gelsemium APT 犯罪分子集中在多個部門——政府、教育、電子甚至宗教組織。他們攻擊的主要目標是從受感染網絡中進行長期間諜活動和數據洩露。
通常,Gelsemium APT 攻擊遵循多階段過程。最終,它的感染以 Gelsevirine 植入物的部署結束,該植入物包含了犯罪分子實現其目標所需的所有功能。但是,在此之前,他們可能會使用一個小型的自定義木馬滴管 (Gelsemine) 和加載程序 (Gelsenicine) 來確保感染順利完成。
Gelsevirine 是迄今為止來自 Gelsemium APT 一部分的開發人員最有趣的東西。該植入程序在內部稱為 MainPlugin,能夠執行遠程代碼,並能夠以靜默方式將數據洩露到命令和控制服務器。
到目前為止,考慮到犯罪分子已經在該領域工作了七年多,他們針對極少數受害者,因此專家研究和分析 Gelsemium APT 相對困難。對他們的植入物和基礎設施的分析表明,與在東亞和中東運營的其他已知 APT 集團有輕微重疊。但是,沒有足夠的相似性來確定 Gelsemium APT 是否是更受歡迎的威脅行為者的一個子組。