Gelsemium APT

Gelsemium est un groupe APT (Advanced Persistence Threat) actif depuis au moins 2014. Les pirates ont mené de multiples campagnes d'attaques contre des cibles situées principalement en Asie de l'Est et au Moyen-Orient. Parmi leurs victimes potentielles se trouvent des entités issues d'un large éventail de secteurs verticaux différents. Jusqu'à présent, les victimes de Gelsemium APT comprennent des agences gouvernementales, des fabricants d'électronique, des organisations religieuses, ainsi que plusieurs universités.

Boîte à outils de logiciels malveillants

Le groupe Gelsemium APT met en place une chaîne d'attaque en plusieurs étapes pour ses opérations. Après avoir pénétré le système ciblé, les pirates informatiques déploient un malware compte-gouttes nommé Gelsemine. Le compte-gouttes est inhabituellement volumineux pour ce type de malware, mais il comprend huit exécutables intégrés. La grande taille est utilisée par Gelsemine pour accueillir un mécanisme sophistiqué qui permet à l'acteur de la menace de modifier le comportement de la menace. L'APT Gelsemium peut ajuster le compte-gouttes en fonction de l'architecture de la victime compromise - soit 23 bits ou 64 bits, et si l'utilisateur a des privilèges d'administrateur ou non.

La menace de la prochaine étape est la gelsenicine. Sa tâche principale est de récupérer un module principal nommé Gelsevirine, puis de l'exécuter. Le comportement exact de la chargeuse est déterminé en fonction de plusieurs facteurs. Si la victime a des privilèges d'administrateur, Gelsenicine déposera la DLL corrompue du malware de la prochaine étape sous C:\Windows\System32\spool\prtprocs\x64\winprint.dll. Sans les privilèges nécessaires, le chargeur déposera à la place un chrome_elf.dll dans l'emplacement CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine est le plugin principal de l'attaque Gelsemium. Il utilise une configuration complexe dans sa communication avec le serveur Command-and-Control (C2, C&C). Une DLL intégrée spécifique agit comme un intermédiaire lorsqu'il s'agit d'établir un contact. De plus, une configuration est chargée de gérer les différents protocoles - tcp, udp, http et https. Les chercheurs d'Infosec ont observé que Gelsevirine récupère différents plug-ins, notamment un module de compression-décompression pour la communication C&C, un plug-in pour manipuler le système de fichiers et un autre qui facilite l'injection de DLL dans des processus sélectionnés.

Connexions Gelsemium supplémentaires

Les chercheurs ont réussi à découvrir certains liens entre le groupe Gelsemium APT et l'attaque de la chaîne d'approvisionnement contre BigNox. Les pirates ont compromis le mécanisme de mise à jour de NoxPlayer, un émulateur Android pour PC et Mac.

OwlProxy est un module corrompu qui présente un certain comportement qui a également été observé dans les outils malveillants Gelsemium. Plus précisément, les menaces utilisent des méthodes similaires pour tester la version de Windows sur le système compromis. Une autre porte dérobée de malware nommée Chrommme n'a pas les mêmes connexions évidentes mais certains indicateurs pointent vers un lien avec Gelsemium. Après tout, Chrommme et Gelseverine utilisent le même serveur C&C que l'un des serveurs utilisés par les menaces. De plus, un échantillon de Chrommme a été découvert sur un système également ciblé par Gelsemium.