Εντοπίστηκε μια νέα ομάδα hacking που ονομάζεται Gelsemium σε επιθέσεις που στόχευαν μια κυβέρνηση στην Νοτιοανατολική Ασία κατά τη διάρκεια εξάμηνης περιόδου από το 2022 έως το 2023.
Η ομάδα κυβερνοκατασκοπίας Gelsemium λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαίδευση και επιχειρήσεις ηλεκτρονικών συσκευών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η αναφορά της ESET για το 2021 χαρακτηρίζει την ομάδα hacking ως “ήσυχη”, υπογραμμίζοντας την εξαιρετική τεχνική ικανότητα και τη γνώση προγραμματισμού που τους έχει βοηθήσει να περάσουν απαρατήρητοι για πολλά χρόνια.
Ένα νέο report από την ομάδα Unit 42 της Palo Alto Networks αποκαλύπτει πώς μια νέα επιθετική εκστρατεία με το όνομα Gelsemium χρησιμοποιεί backdoors που σπάνια εμφανίζονται και συνδέονται με τους χάκερ με μέτρια βεβαιότητα.
Πρόσφατες επιθέσεις Gelsemium
Η αρχική παραβίαση των στόχων του Gelsemium επιτεύχθηκε μέσω της εγκατάστασης web shell, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε servers που είναι προσβάσιμοι από το διαδίκτυο.
Η Unit 42 αναφέρει ότι εντοπίστηκαν οι ιστοσελίδες ‘reGeorg,’ ‘China Chopper,’ και ‘AspxSpy,’ οι οποίες είναι δημόσια διαθέσιμες και χρησιμοποιούνται από πολλά ομάδες hacking, κάτι που δυσκολεύει την ανιχνευσιμότητα.
Χρησιμοποιώντας αυτά τα web shells, το Gelsemium πραγματοποίησε βασικό network reconnaissance, μετακινήθηκε πλαγίως μέσω SMB και ανέκτησε επιπλέον payload.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική κίνηση, τη συλλογή δεδομένων και την κλιμάκωση των προνομίων περιλαμβάνουν το OwlProxy, το SessionManager, το Cobalt Strike, το SpoolFool και το EarthWorm.
Το Cobalt Strike είναι ένα διαδεδομένο πακέτο penetration testing, το EarthWorm είναι ένα κοινόχρηστο SOCKS tunneler και το SpoolFool είναι ένα εργαλείο ανόδου τοπικών δικαιωμάτων ανοικτού κώδικα, οπότε αυτά τα τρία δεν είναι συγκεκριμένα για την ομάδα Gelsemium.
Ωστόσο, το OwlProxy είναι ένας μοναδικό, προσαρμοσμένο HTTP proxy και εργαλείο backdoor που η Unit 42 αναφέρει ότι η ομάδα Gelsemium χρησιμοποίησε προηγούμενη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Κατά την πιο πρόσφατη εκστρατεία, η ομάδα hacking χρησιμοποίησε ένα εκτελέσιμο αρχείο που αποθήκευσε έναν ενσωματωμένο DLL (wmipd.dll) στον δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, η οποία δημιουργεί μια HTTP service που παρακολουθεί εισερχόμενα αιτήματα για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές αναφέρουν ότι τα προϊόντα ασφαλείας στο στοχευμένο σύστημα εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο custom implant που σχετίζεται με την ομάδα Gelsemium είναι το SessionManager, ένα backdoor IIS που η Kaspersky συνέδεσε με την ομάδα hacking το προηγούμενο καλοκαίρι.
Το δείγμα στην πρόσφατη επίθεση παρακολούθησε τα εισερχόμενα HTTP requests, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον host.
Αυτές οι εντολές αφορούν τη μεταφόρτωση αρχείων προς ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη σύνδεση συνδέσεων proxy σε πρόσθετα συστήματα.
Η λειτουργικότητα του proxy στο OwlProxy και το SessionManager δείχνει την πρόθεση των χάκερ να χρησιμοποιήσουν τον παραβιασμένο server ως πύλη για την επικοινωνία με άλλα συστήματα στο στοχευμένο δίκτυο.
Συμπερασματικά, η Unit 42 σημειώνει την επιμονή της ομάδας Gelsemium, με τους χάκερ να εισάγουν πολλαπλά εργαλεία και να προσαρμόζουν την επίθεση όπως απαιτείται, ακόμη και αφού οι λύσεις ασφαλείας σταμάτησαν ορισμένα από τα backdoor τους.
Πηγή πληροφοριών: bleepingcomputer.com
