Търсене
Close this search box.

Хакери от Gelsemium са забелязани при атака срещу азиатско правителство

При атаките, насочени към правителство в Югоизточна Азия, които продължиха шест месеца между 2022 и 2023 г., беше наблюдавана скрита напреднала постоянна заплаха (APT), проследена като Gelsemium.

Gelsemium е група за кибершпионаж, действаща от 2014 г. насам, насочена към правителствaта, образованието и производителите на електроника в Източна Азия и Близкия изток.

Докладът на ESET от 2021 г. характеризира групата за заплахи като „тиха“, подчертавайки огромния технически капацитет и познания в областта на програмирането, които са ѝ помогнали да се крие под радара в продължение на много години.

Нов доклад на Palo Alto Network’s Unit 42 разкрива как нова кампания на Gelsemium използва рядко срещани задни врати, свързани със заплахата със средна степен на увереност.

Скорошни атаки на Gelsemium

Първоначалното компрометиране на целите на Gelsemium беше постигнато чрез инсталиране на уеб обвивки, вероятно след използване на уязвимости в сървъри, насочени към интернет.

Unit 42 съобщава, че е видяло уеб шелове „reGeorg“, „China Chopper“ и „AspxSpy“, които са публично достъпни и се използват от множество групи за заплахи, което затруднява приписването им.

Използвайки тези уеб обвивки, Gelsemium извършва основно разузнаване на мрежата, придвижва се странично чрез SMB и извлича допълнителни полезни товари.

Тези допълнителни инструменти, които помагат за странично придвижване, събиране на данни и повишаване на привилегиите, включват OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.

Cobalt Strike е широко използван пакет за тестване за проникване, EarthWorm е публично достъпен SOCKS тунел, а SpoolFool е инструмент с отворен код за локално повишаване на привилегиите, така че тези три инструмента не са специфични за Gelsemium.

Въпреки това OwlProxy е уникален, персонализиран HTTP прокси сървър и инструмент за задна врата, който, както съобщава Unit 42, Gelsemium е използвал в предишна атака, насочена към тайванското правителство.

При последната кампания извършителят е разположил изпълним файл, който е записал вграден DLL (wmipd.dll) на диска на пробитата система и е създал услуга, която го изпълнява.

DLL е вариант на OwlProxy, който създава HTTP услуга, която следи входящите заявки за специфични модели на URL адреси, в които се крият команди.

Изследователите казват, че продуктите за сигурност в целевата система са попречили на OwlProxy да работи, така че нападателите са се върнали към използването на EarthWorm.

Вторият потребителски имплант, свързан с Gelsemium, е SessionManager – задна врата за IIS, която Kaspersky свърза с групата за заплахи миналото лято.

Образецът в последната атака е наблюдавал входящите HTTP заявки, търсейки специфично поле Cookie, което носи команди за изпълнение на хоста.

Тези команди се отнасят до качване на файлове към или от сървъра C2, изпълнение на команди, стартиране на приложения или проксиране на връзки към допълнителни системи.

Функционалността на прокси в OwlProxy и SessionManager показва намерението на  заплахата да използва компрометирания сървър като шлюз за комуникация с други системи в целевата мрежа.

В заключение Unit 42 отбелязва упоритостта на Gelsemium, като хакерите са въвели множество инструменти и са адаптирали атаката според нуждите си дори след като решенията за сигурност са спрели някои от техните задни врати.

 

 

 

 

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...
Бъдете социални
Още по темата
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!