При атаките, насочени към правителство в Югоизточна Азия, които продължиха шест месеца между 2022 и 2023 г., беше наблюдавана скрита напреднала постоянна заплаха (APT), проследена като Gelsemium.

Gelsemium е група за кибершпионаж, действаща от 2014 г. насам, насочена към правителствaта, образованието и производителите на електроника в Източна Азия и Близкия изток.

Докладът на ESET от 2021 г. характеризира групата за заплахи като „тиха“, подчертавайки огромния технически капацитет и познания в областта на програмирането, които са ѝ помогнали да се крие под радара в продължение на много години.

Нов доклад на Palo Alto Network’s Unit 42 разкрива как нова кампания на Gelsemium използва рядко срещани задни врати, свързани със заплахата със средна степен на увереност.

Скорошни атаки на Gelsemium

Първоначалното компрометиране на целите на Gelsemium беше постигнато чрез инсталиране на уеб обвивки, вероятно след използване на уязвимости в сървъри, насочени към интернет.

Unit 42 съобщава, че е видяло уеб шелове „reGeorg“, „China Chopper“ и „AspxSpy“, които са публично достъпни и се използват от множество групи за заплахи, което затруднява приписването им.

Използвайки тези уеб обвивки, Gelsemium извършва основно разузнаване на мрежата, придвижва се странично чрез SMB и извлича допълнителни полезни товари.

Тези допълнителни инструменти, които помагат за странично придвижване, събиране на данни и повишаване на привилегиите, включват OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.

Cobalt Strike е широко използван пакет за тестване за проникване, EarthWorm е публично достъпен SOCKS тунел, а SpoolFool е инструмент с отворен код за локално повишаване на привилегиите, така че тези три инструмента не са специфични за Gelsemium.

Въпреки това OwlProxy е уникален, персонализиран HTTP прокси сървър и инструмент за задна врата, който, както съобщава Unit 42, Gelsemium е използвал в предишна атака, насочена към тайванското правителство.

При последната кампания извършителят е разположил изпълним файл, който е записал вграден DLL (wmipd.dll) на диска на пробитата система и е създал услуга, която го изпълнява.

DLL е вариант на OwlProxy, който създава HTTP услуга, която следи входящите заявки за специфични модели на URL адреси, в които се крият команди.

Изследователите казват, че продуктите за сигурност в целевата система са попречили на OwlProxy да работи, така че нападателите са се върнали към използването на EarthWorm.

Вторият потребителски имплант, свързан с Gelsemium, е SessionManager – задна врата за IIS, която Kaspersky свърза с групата за заплахи миналото лято.

Образецът в последната атака е наблюдавал входящите HTTP заявки, търсейки специфично поле Cookie, което носи команди за изпълнение на хоста.

Тези команди се отнасят до качване на файлове към или от сървъра C2, изпълнение на команди, стартиране на приложения или проксиране на връзки към допълнителни системи.

Функционалността на прокси в OwlProxy и SessionManager показва намерението на  заплахата да използва компрометирания сървър като шлюз за комуникация с други системи в целевата мрежа.

В заключение Unit 42 отбелязва упоритостта на Gelsemium, като хакерите са въвели множество инструменти и са адаптирали атаката според нуждите си дори след като решенията за сигурност са спрели някои от техните задни врати.

 

 

 

 

Източник: По материали от Интернет

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
Бъдете социални
Още по темата
02/02/2025

Геймърите с по-ниски социал...

Ново проучване, публикувано в Computers in...
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!