За последние шесть месяцев между 2022 и 2023 годами постоянная продвинутая угроза ( APT ), известная как Gelsemium, активно атаковала правительства в Юго-Восточной Азии.
Группа Gelsemium известна с 2014 года. Её основные цели – государственные учреждения, образовательные институты и производители электроники в Восточной Азии и на Ближнем Востоке. В отчете ESET за 2021 год специалисты охарактеризовали группу как “тихую”, акцентируя внимание на глубоких технических компетенциях, которые позволяли ей долгое время оставаться в тени.
Согласно свежему отчету исследовательской группы Unit 42 от Palo Alto Network, в новой кампании были задействованы уникальные бэкдоры.
Gelsemium использовала веб-шеллы для проникновения в систему, предположительно, эксплуатируя уязвимости серверов, доступных из интернета. Как показал анализ, среди применяемых веб-шеллов были “reGeorg”, “China Chopper” и “AspxSpy”. Инструменты находятся в открытом доступе и могут быть использованы различными группами злоумышленников, что затрудняет их идентификацию.
Через веб-шеллы Gelsemium осуществляла первоначальную разведку в сети, перемещалась в ней с помощью SMB и загружала дополнительные модули: OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.
Хотя инструменты Cobalt Strike, EarthWorm и SpoolFool доступны публично и широко известны, OwlProxy довольно уникален. Когда-то он служил HTTP-прокси и бэкдором в атаках группы на правительство Тайваня.
В ходе последней кампании хакеры запускали программу на целевом компьютере, который, в свою очередь, копировал DLL-файл (wmipd.dll) и создавал системную службу для его выполнения. DLL-файл – модификация OwlProxy для отслеживания входящих HTTP-запросов и определенных URL-шаблонов.
Еще один инструмент Gelsemium – SessionManager. Этот модуль для системы IIS ранее обнаружили исследователи из Лаборатории Касперского. SessionManager анализирует входящие HTTP-запросы на наличие специальных записей в “Cookie”. Такие записи содержат команды, которые позволяют злоумышленникам загружать файлы, запускать программы и даже соединяться с другими системами через зараженный сервер.
Команда Unit 42 отмечает настойчивость Gelsemium: группа использует несколько инструментов и адаптирует свои атаки даже после того, как некоторые из их бэкдоров были остановлены механизмами безопасности.