При атаките, насочени към правителство в Югоизточна Азия, които продължиха шест месеца между 2022 и 2023 г., беше наблюдавана скрита напреднала постоянна заплаха (APT), проследена като Gelsemium.

Gelsemium е група за кибершпионаж, действаща от 2014 г. насам, насочена към правителствaта, образованието и производителите на електроника в Източна Азия и Близкия изток.

Докладът на ESET от 2021 г. характеризира групата за заплахи като „тиха“, подчертавайки огромния технически капацитет и познания в областта на програмирането, които са ѝ помогнали да се крие под радара в продължение на много години.

Нов доклад на Palo Alto Network’s Unit 42 разкрива как нова кампания на Gelsemium използва рядко срещани задни врати, свързани със заплахата със средна степен на увереност.

Скорошни атаки на Gelsemium

Първоначалното компрометиране на целите на Gelsemium беше постигнато чрез инсталиране на уеб обвивки, вероятно след използване на уязвимости в сървъри, насочени към интернет.

Unit 42 съобщава, че е видяло уеб шелове „reGeorg“, „China Chopper“ и „AspxSpy“, които са публично достъпни и се използват от множество групи за заплахи, което затруднява приписването им.

Използвайки тези уеб обвивки, Gelsemium извършва основно разузнаване на мрежата, придвижва се странично чрез SMB и извлича допълнителни полезни товари.

Тези допълнителни инструменти, които помагат за странично придвижване, събиране на данни и повишаване на привилегиите, включват OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.

Cobalt Strike е широко използван пакет за тестване за проникване, EarthWorm е публично достъпен SOCKS тунел, а SpoolFool е инструмент с отворен код за локално повишаване на привилегиите, така че тези три инструмента не са специфични за Gelsemium.

Въпреки това OwlProxy е уникален, персонализиран HTTP прокси сървър и инструмент за задна врата, който, както съобщава Unit 42, Gelsemium е използвал в предишна атака, насочена към тайванското правителство.

При последната кампания извършителят е разположил изпълним файл, който е записал вграден DLL (wmipd.dll) на диска на пробитата система и е създал услуга, която го изпълнява.

DLL е вариант на OwlProxy, който създава HTTP услуга, която следи входящите заявки за специфични модели на URL адреси, в които се крият команди.

Изследователите казват, че продуктите за сигурност в целевата система са попречили на OwlProxy да работи, така че нападателите са се върнали към използването на EarthWorm.

Вторият потребителски имплант, свързан с Gelsemium, е SessionManager – задна врата за IIS, която Kaspersky свърза с групата за заплахи миналото лято.

Образецът в последната атака е наблюдавал входящите HTTP заявки, търсейки специфично поле Cookie, което носи команди за изпълнение на хоста.

Тези команди се отнасят до качване на файлове към или от сървъра C2, изпълнение на команди, стартиране на приложения или проксиране на връзки към допълнителни системи.

Функционалността на прокси в OwlProxy и SessionManager показва намерението на  заплахата да използва компрометирания сървър като шлюз за комуникация с други системи в целевата мрежа.

В заключение Unit 42 отбелязва упоритостта на Gelsemium, като хакерите са въвели множество инструменти и са адаптирали атаката според нуждите си дори след като решенията за сигурност са спрели някои от техните задни врати.

 

 

 

 

Източник: По материали от Интернет

Подобни публикации

Поглед към Green Transition Forum 5.0

Киберсигурността не е просто техническа дисциплина или изпълнение н...

DuckDuckGo разширява защитата срещу онлайн измами

DuckDuckGo, известен с фокуса си върху поверителността, разширява в...
20 юни 2025

Viasat е поредната жертва на китайската APT гру...

Американската компания за сателитни комуникации Viasat стана обект ...
20 юни 2025

Play ransomware удари Krispy Kreme: над 160 000...

Американската верига за понички и кафе Krispy Kreme потвърди, че пр...
20 юни 2025

Извършител от бандата Ryuk e екстрадиран в САЩ

33-годишен украински гражданин, сочен за член на зловещата рансъмуе...
20 юни 2025

Израел унищожи над 90 милиона долара в криптова...

Хакерската група „Predatory Sparrow“, известна с произраелската си ...
20 юни 2025

BlueNoroff използва дийпфейк видеа в Zoom

Изследователи от Huntress разкриха нова кампания на севернокорейска...
Бъдете социални
Още по темата
03/04/2025

Ново проучване класира плат...

Платформата, в която хората най-често забравят...
07/03/2025

Обир на криптовалута по вер...

Скорошният обир на криптовалута на стойност...
02/02/2025

Геймърите с по-ниски социал...

Ново проучване, публикувано в Computers in...
Последно добавени
20/06/2025

Поглед към Green Transition...

Киберсигурността не е просто техническа дисциплина...
20/06/2025

DuckDuckGo разширява защита...

DuckDuckGo, известен с фокуса си върху...
20/06/2025

Viasat е поредната жертва н...

Американската компания за сателитни комуникации Viasat...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!