Μια κρυφά προηγμένη επίμονη απειλή (APT) που παρακολουθείται ως Gelsemium παρατηρήθηκε σε επιθέσεις που στόχευαν μια κυβέρνηση της Νοτιοανατολικής
Ασία
ς που διήρκεσαν έξι μήνες μεταξύ 2022 και
2023
.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014, με στόχο την κυβέρνηση, την
εκπαίδευση
και τους κατασκευαστές ηλεκτρονικών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως «ήσυχη», υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τους βοήθησαν να πετούν κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα αναφορά από τη Μονάδα 42 του Δικτύου Palo Alto αποκαλύπτει πώς μια νέα καμπάνια Gelsemium χρησιμοποιεί σπάνια κερκόπορτες που συνδέονται με τους παράγοντες απειλής με μέτρια εμπιστοσύνη.
Χρονοδιάγραμμα επιθέσεων
(Μονάδα 42)
Πρόσφατες επιθέσεις Gelsemium
Ο αρχικός συμβιβασμός των στόχων Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελύφους ιστού, πιθανότατα μετά από εκμετάλλευση τρωτών σημείων σε διακομιστές που αντιμετωπίζουν το
Διαδίκτυο
.
Η ενότητα 42 αναφέρει
βλέποντας τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, γεγονός που καθιστά δύσκολη την απόδοση.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και έλαβε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική κίνηση, τη συλλογή δεδομένων και την κλιμάκωση των προνομίων περιλαμβάνουν το OwlProxy, το SessionManager, το Cobalt Strike, το SpoolFool και το EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένα δημόσια διαθέσιμο tunneler SOCKS και το SpoolFool είναι ένα εργαλείο κλιμάκωσης τοπικών προνομίων ανοιχτού κώδικα, επομένως αυτά τα τρία δεν είναι ειδικά για το Gelsemium.
Δέντρο διαδικασίας Cobalt Strike
(Μονάδα 42)
Ωστόσο, το OwlProxy είναι ένας μοναδικός, προσαρμοσμένος διακομιστής μεσολάβησης HTTP και εργαλείο backdoor Η ενότητα 42 αναφέρει ότι το Gelsemium χρησιμοποιήθηκε σε προηγούμενη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία καμπάνια, ο παράγοντας απειλών ανέπτυξε ένα εκτελέσιμο αρχείο που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του συστήματος που είχε παραβιαστεί και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τα εισερχόμενα αιτήματα για συγκεκριμένα μοτίβα URL που αποκρύπτουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο στοχευμένο σύστημα εμπόδισαν την εκτέλεση του OwlProxy, έτσι οι εισβολείς επανήλθαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η
Kaspersky
συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα στην πρόσφατη επίθεση παρακολούθησε εισερχόμενα αιτήματα HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον κεντρικό υπολογιστή.
Αυτές οι εντολές αφορούν τη μεταφόρτωση αρχείων προς ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη σύνδεση συνδέσεων μεσολάβησης σε πρόσθετα συστήματα.
Η λειτουργικότητα του διακομιστή μεσολάβησης στο OwlProxy και το SessionManager δείχνει την πρόθεση των παραγόντων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο προορισμού.
Συμπερασματικά, η Ενότητα 42 σημειώνει την επιμονή του Gelsemium, με τους πρωταγωνιστές της απειλής να εισάγουν πολλαπλά εργαλεία και να προσαρμόζουν την επίθεση όπως απαιτείται, ακόμη και αφού οι λύσεις ασφαλείας σταμάτησαν ορισμένες από τις κερκόπορτες τους.