Os investigadores de segurança cibernética começaram a analisar diferentes campanhas desde 2020, no entanto, durante a investigação, os especialistas da equipa de investigação da ESET encontraram recentemente alguns detalhes sobre o grupo de hackers APT denominado Gelsemium.
Acredita-se que este grupo esteja envolvido no ataque à cadeia de suprimentos que tem como alvo o emulador Android NoxPlayer, que foi revelado no início deste ano.
e os hackers usaram uma ampla gama de malware neste ataque, que inclui um implante personalizado chamado Gelsevirine.
Além disso, o grupo Gelsemium APT tem estado por trás de vários ataques contra diferentes alvos que pertencem ao Médio Oriente e à Ásia Oriental, entre todos os alvos o mais notável é o BigNox.
Elementos de gelsêmio
A princípio, os pesquisadores pensaram que toda a cadeia do Gelsemium era bastante simples, depois souberam que ela tinha uma configuração exaustiva.
Porém, após uma investigação adequada, os especialistas confirmaram que os hackers implantaram a configuração em todas as etapas.
Não apenas isso, mas para tornar o ataque mais difícil de entender para os pesquisadores, os hackers modificaram as configurações instantâneas para a carga final. Os especialistas encontraram alguns elementos neste ataque e aqui os listamos abaixo: –
- Gelsemina: o conta-gotas
- Gelsenicina: O carregador
- Gelsevirina: O principal plug-in
Gelsemina: Segundo os especialistas, este elemento é a fase inicial do ataque, que está escrito em C++ e contém diferentes fases posteriores dos binários. Porém, o tamanho dos conta-gotas continua aumentando, é por isso que os desenvolvedores usam a biblioteca Zlib, para diminuir o tamanho geral do conta-gotas.
Gelsenicina: Possui um carregador que geralmente recupera a Gelsevirina que é o terceiro elemento e auxilia na execução. Neste ataque, os hackers possuem duas versões do carregador, mas ambas as versões são DLLs.
Gelsevirina: O último elemento é a Gelsevirina, também conhecida como MainPlugin. No entanto, esta última etapa foi montada pela Gelsenicina, pois não funcionará perfeitamente porque necessita dos seus argumentos posteriormente.
Alvos
De acordo com o passado relatórioso grupo APT Gelsemium atacou um pequeno número de alvos por estar envolvido em espionagem cibernética.
No entanto, no ataque actual, os actores da ameaça deste grupo visaram um grande número de vítimas, tais como instituições governamentais, equipamentos electrónicos
fabricantes, universidades e até organizações religiosas também foram atacados na Ásia Oriental e no Médio Oriente.
Ferramentas usadas
- Operação NightScout
- CorujaProxy
- Cromado
Além de tudo isso, os analistas de segurança também souberam que os vetores de ataque desse grupo de hackers APT também incluem e-mails de phishing junto com um anexo malicioso na forma de um documento do Microsoft Office.
No entanto, este anexo malicioso explora a vulnerabilidade CVE-2012-0158, que geralmente permite todo o tipo de execução remota de código. Além disso, a ferramenta Operação NightScout afetou um pequeno número de alvos em Taiwan, Hong Kong e Sri Lanka.
Você pode nos seguir em Linkedin, Twitter, Facebook para segurança cibernética diária e atualizações de notícias sobre hackers.