Хакери от Gelsemium са забелязани при атака срещу азиатско правителство

При атаките, насочени към правителство в Югоизточна Азия, които продължиха шест месеца между 2022 и 2023 г., беше наблюдавана скрита напреднала постоянна заплаха (APT), проследена като Gelsemium.

Gelsemium е група за кибершпионаж, действаща от 2014 г. насам, насочена към правителствaта, образованието и производителите на електроника в Източна Азия и Близкия изток.

Докладът на ESET от 2021 г. характеризира групата за заплахи като „тиха“, подчертавайки огромния технически капацитет и познания в областта на програмирането, които са ѝ помогнали да се крие под радара в продължение на много години.

Нов доклад на Palo Alto Network’s Unit 42 разкрива как нова кампания на Gelsemium използва рядко срещани задни врати, свързани със заплахата със средна степен на увереност.

Скорошни атаки на Gelsemium

Първоначалното компрометиране на целите на Gelsemium беше постигнато чрез инсталиране на уеб обвивки, вероятно след използване на уязвимости в сървъри, насочени към интернет.

Unit 42 съобщава, че е видяло уеб шелове „reGeorg“, „China Chopper“ и „AspxSpy“, които са публично достъпни и се използват от множество групи за заплахи, което затруднява приписването им.

Използвайки тези уеб обвивки, Gelsemium извършва основно разузнаване на мрежата, придвижва се странично чрез SMB и извлича допълнителни полезни товари.

Тези допълнителни инструменти, които помагат за странично придвижване, събиране на данни и повишаване на привилегиите, включват OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.

Cobalt Strike е широко използван пакет за тестване за проникване, EarthWorm е публично достъпен SOCKS тунел, а SpoolFool е инструмент с отворен код за локално повишаване на привилегиите, така че тези три инструмента не са специфични за Gelsemium.

Въпреки това OwlProxy е уникален, персонализиран HTTP прокси сървър и инструмент за задна врата, който, както съобщава Unit 42, Gelsemium е използвал в предишна атака, насочена към тайванското правителство.

При последната кампания извършителят е разположил изпълним файл, който е записал вграден DLL (wmipd.dll) на диска на пробитата система и е създал услуга, която го изпълнява.

DLL е вариант на OwlProxy, който създава HTTP услуга, която следи входящите заявки за специфични модели на URL адреси, в които се крият команди.

Изследователите казват, че продуктите за сигурност в целевата система са попречили на OwlProxy да работи, така че нападателите са се върнали към използването на EarthWorm.

Вторият потребителски имплант, свързан с Gelsemium, е SessionManager – задна врата за IIS, която Kaspersky свърза с групата за заплахи миналото лято.

Образецът в последната атака е наблюдавал входящите HTTP заявки, търсейки специфично поле Cookie, което носи команди за изпълнение на хоста.

Тези команди се отнасят до качване на файлове към или от сървъра C2, изпълнение на команди, стартиране на приложения или проксиране на връзки към допълнителни системи.

Функционалността на прокси в OwlProxy и SessionManager показва намерението на  заплахата да използва компрометирания сървър като шлюз за комуникация с други системи в целевата мрежа.

В заключение Unit 42 отбелязва упоритостта на Gelsemium, като хакерите са въвели множество инструменти и са адаптирали атаката според нуждите си дори след като решенията за сигурност са спрели някои от техните задни врати.

 

 

 

 

Източник: По материали от Интернет

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
Бъдете социални
Още по темата
26/10/2023

"Влезте с" ... Функцията п...

Дефектите в прилагането на стандарта за...
20/10/2023

Професионалистите предупреж...

Европейският съюз (ЕС) може скоро да...
07/10/2023

5 основни характеристики на...

Мениджърите на пароли се превърнаха в...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!