При атаките, насочени към правителство в Югоизточна Азия, които продължиха шест месеца между 2022 и 2023 г., беше наблюдавана скрита напреднала постоянна заплаха (APT), проследена като Gelsemium.
Gelsemium е група за кибершпионаж, действаща от 2014 г. насам, насочена към правителствaта, образованието и производителите на електроника в Източна Азия и Близкия изток.
Докладът на ESET от 2021 г. характеризира групата за заплахи като „тиха“, подчертавайки огромния технически капацитет и познания в областта на програмирането, които са ѝ помогнали да се крие под радара в продължение на много години.
Нов доклад на Palo Alto Network’s Unit 42 разкрива как нова кампания на Gelsemium използва рядко срещани задни врати, свързани със заплахата със средна степен на увереност.
Първоначалното компрометиране на целите на Gelsemium беше постигнато чрез инсталиране на уеб обвивки, вероятно след използване на уязвимости в сървъри, насочени към интернет.
Unit 42 съобщава, че е видяло уеб шелове „reGeorg“, „China Chopper“ и „AspxSpy“, които са публично достъпни и се използват от множество групи за заплахи, което затруднява приписването им.
Използвайки тези уеб обвивки, Gelsemium извършва основно разузнаване на мрежата, придвижва се странично чрез SMB и извлича допълнителни полезни товари.
Тези допълнителни инструменти, които помагат за странично придвижване, събиране на данни и повишаване на привилегиите, включват OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.
Cobalt Strike е широко използван пакет за тестване за проникване, EarthWorm е публично достъпен SOCKS тунел, а SpoolFool е инструмент с отворен код за локално повишаване на привилегиите, така че тези три инструмента не са специфични за Gelsemium.
Въпреки това OwlProxy е уникален, персонализиран HTTP прокси сървър и инструмент за задна врата, който, както съобщава Unit 42, Gelsemium е използвал в предишна атака, насочена към тайванското правителство.
При последната кампания извършителят е разположил изпълним файл, който е записал вграден DLL (wmipd.dll) на диска на пробитата система и е създал услуга, която го изпълнява.
DLL е вариант на OwlProxy, който създава HTTP услуга, която следи входящите заявки за специфични модели на URL адреси, в които се крият команди.
Изследователите казват, че продуктите за сигурност в целевата система са попречили на OwlProxy да работи, така че нападателите са се върнали към използването на EarthWorm.
Вторият потребителски имплант, свързан с Gelsemium, е SessionManager – задна врата за IIS, която Kaspersky свърза с групата за заплахи миналото лято.
Образецът в последната атака е наблюдавал входящите HTTP заявки, търсейки специфично поле Cookie, което носи команди за изпълнение на хоста.
Тези команди се отнасят до качване на файлове към или от сървъра C2, изпълнение на команди, стартиране на приложения или проксиране на връзки към допълнителни системи.
Функционалността на прокси в OwlProxy и SessionManager показва намерението на заплахата да използва компрометирания сървър като шлюз за комуникация с други системи в целевата мрежа.
В заключение Unit 42 отбелязва упоритостта на Gelsemium, като хакерите са въвели множество инструменти и са адаптирали атаката според нуждите си дори след като решенията за сигурност са спрели някои от техните задни врати.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
