گلسمیوم: وقتی بازیگران تهدید می کنند که به باغبانی می روند


محققان ESET کمپین های جدید گروه ساکت Gelsemium را روشن می کنند

در اواسط سال 2020 ، محققان ESET شروع به تجزیه و تحلیل تعدادی از کارزارهایی کردند که بعداً به گروه Gelsemium نسبت دادند و اولین نسخه بدافزار را از سال 2014 ردیابی کردند. قربانیان این کمپین ها در شرق آسیا و همچنین در خاورمیانه هستند. و شامل دولت ها ، سازمان های مذهبی ، تولیدکنندگان الکترونیک و دانشگاه ها است.

نکات کلیدی در این گزارش:

  • محققان ESET معتقدند که ژلاسمیم در پشت حمله زنجیره تامین به BigNox است که قبلا گزارش شده بود عملیات NightScout
  • محققان ESET نسخه جدیدی از Gelsemium ، بدافزار پیچیده و مدولار را کشف کردند که بعدا Gelsemine ، Gelsenicine و Gelsevirine نامیده شد.
  • اهداف جدیدی شناسایی شده است که شامل دولت ها ، دانشگاه ها ، تولیدکنندگان الکترونیک و سازمان های مذهبی در شرق آسیا و خاورمیانه است.
  • گلسمیوم یک گروه جاسوسی اینترنتی است که از سال 2014 فعال است.

توزیع جغرافیایی اهداف گلسمیوم در شکل 1 مشاهده می شود.

شکل 1. مکان های اهداف

اجزای گلزمیوم

ممکن است در نگاه اول کل مدار گلسمیوم ساده به نظر برسد ، اما پیکربندی های جامع کاشته شده در هر مرحله باعث تغییر تنظیمات هنگام بار برای بار نهایی می شود ، و درک آن دشوارتر می شود. رفتاری که در زیر تحلیل می شود مربوط به پیکربندی است. در نتیجه ، نام پرونده و مسیر ممکن است در نمونه های دیگر متفاوت باشد. بیشتر کمپین هایی که مشاهده کردیم از آنچه در اینجا شرح داده شده پیروی می کنند.

شکل 2. بررسی اجمالی گردش کار سه جز

گلسمین: قطره چکان

اولین مرحله Gelsemium یک قطره چکان بزرگ است که با استفاده از کتابخانه Microsoft Foundation Class (MFC) به زبان ++ C نوشته شده است. این مرحله شامل باینری های زیادی در مراحل زیر است. اندازه قطره چکان از 400 کیلوبایت تا 700 کیلوبایت متغیر است ، که غیرمعمول است و اگر هشت مورد اجرایی تعبیه شده فشرده نشوند ، حتی بزرگتر خواهد بود. توسعه دهندگان برای کاهش قابل توجه اندازه کلی ، از کتابخانه zlib که به صورت ایستا مرتبط است استفاده می کنند. پشت این پرونده اجرایی عظیم یک سازوکار پیچیده اما انعطاف پذیر قرار دارد که قادر است مراحل مختلف را با توجه به ویژگی های رایانه قربانی مانند خانگی (32 بیتی در مقابل 64 بیتی) یا امتیاز (کاربر استاندارد در مقابل سرپرست) حذف کند. تقریباً تمام مراحل فشرده شده ، در قسمت منبع PE واقع شده و در فضای آدرس حافظه همان م maلفه نقشه برداری می شوند. شکل 3 کلیه مراحل مelsلفه Gelsemine را نشان می دهد.

شکل 3. نمای کلی فضای آدرس Gelsemine

Gelsenitsin: لودر

ژل سنیسین یک شارژر است که Gelsevirine را استخراج و آن را انجام می دهد. دو نسخه مختلف از لودر وجود دارد – هر دو DLL هستند. با این حال ، آنها در زمینه اعدام گلسمین متفاوت هستند.

برای قربانیانی که دارای حقوق اداری هستند ، گلسمین ژلسیسین را روی آن می اندازد C: Windows System32 spool prtprocs x64 winprint.dll (DLL در حالت پردازنده چاپ سفارشی) ، که سپس توسط آن به طور خودکار بارگیری می شود spoolsv سرویس ویندوز برای نوشتن پرونده در زیر ٪ WINDIR٪ / system32 فهرست ، حقوق اداری مورد نیاز است. از این رو نیاز فوق الذکر

کاربران دارای امتیازات استاندارد که توسط Gelsemine به خطر بیفتد ، Gelsenicine را در فهرست دیگری قرار می دهند که نیازی به امتیازات مدیر ندارد. DLL chrome_elf.dll تحت آزاد می شود CommonAppData / Google / Chrome / برنامه / کتابخانه /.

Gelsevirine: پلاگین اصلی

Gelsevirine آخرین مرحله از زنجیره است و توسعه دهندگان آن را MainPlugin می نامند ، پس از نام مسیر DLL و PDB در نمونه های قدیمی (Z: z_code Q1 Client Win32 Release MainPlugin.pdb) همچنین لازم به ذکر است که اگر مدافعان بتوانند به تنهایی به این مرحله آخر برسند ، این کار بی عیب و نقص نخواهد بود ، زیرا مستلزم ایجاد استدلال های وی توسط گلسنیتسین است.

پیکربندی مورد استفاده Gelsenicine حاوی یک قسمت نام است کنترل کننده_ نسخه_ ما معتقدیم که نسخه ها توسط اپراتورها برای این افزونه اساسی استفاده می شود. شکل 4 نموداری از نسخه های مختلفی را که در طبیعت مشاهده کرده ایم ارائه می دهد. تاریخ تقریبی است

شکل 4. تاریخچه نسخه ژل سیرین

پیوندها / ابزارهای اضافی

در حین بررسی ، با بدافزار جالبی روبرو شدیم که در بخشهای بعدی شرح داده شده است.

  • Operation NightScout (BigNox): در ژانویه 2021 ، یکی دیگر از محققان ESET تجزیه و تحلیل و مقاله ای در مورد عملیات NightScout نوشت. حمله زنجیره تامین سازوکار بروزرسانی NoxPlayer را به خطر می اندازد ، شبیه ساز Android برای رایانه های شخصی و Mac و بخشی از دامنه محصولات BigNox با بیش از 150 میلیون کاربر در سراسر جهان تحقیقات نشان داد که همخوانی این حمله زنجیره تأمین با گروه گلسمیوم وجود دارد. قربانیان ، که در ابتدا توسط حمله زنجیره تأمین به خطر افتاده بودند ، بعدا توسط Gelsemine مصالحه شدند. در میان گزینه های مختلف در نظر گرفته شده ، “گزینه 2” مقاله شباهت هایی را با بدافزار Gelsemium نشان می دهد.
  • OwlProxy: این ماژول در دو نسخه – 32 و 64 بیتی – نیز موجود است و در نتیجه شامل یک عملکرد آزمایشی برای نسخه ویندوز ، همان اجزای Gelsemium است.
  • کروم: کروم پشت در است که ما در طی ماجراهای خود در اکوسیستم گلسمیوم کشف کردیم. شباهت کدها با اجزای گلسمیوم تقریباً وجود ندارد ، اما در طول تجزیه و تحلیل شاخص های کوچکی پیدا شد که ما را به این باور می رساند که به نوعی با گروه ارتباط دارد. سرور C&C مشابه در هر دو Gelsevirine و Chrommme یافت شد ، هر دو از دو سرور C&C استفاده می کنند. Chrommme در دستگاه سازمان یافت شد ، همچنین توسط گروه Gelsemium به خطر افتاد.

نتیجه

بیوم گلسمیوم بسیار جالب است: این قربانیان کمی را نشان می دهد (طبق تله متری ما) با تعداد زیادی از اجزای سازگار. این افزونه نشان می دهد که توسعه دهندگان آن شناخت عمیقی از C ++ دارند. شباهت های کوچک با ابزارهای شناخته شده بدافزار ، هم پوشانی های جالب و احتمالی با سایر گروه ها و فعالیت های گذشته را روشن می کند. ما امیدواریم که این مطالعه محققان دیگر را به انتشار مقاله در مورد این گروه سوق داده و ریشه های بیشتری را در رابطه با این زیست کره مخرب آشکار کند.

لیست کامل و جامعی از شاخص های معامله (IoC) و نمونه ها را می توان در مقاله سفید کامل و مخزن GitHub ما یافت.

برای هر گونه س orال یا ارسال نمونه برنامه های مرتبط با موضوع ، لطفاً از طریق پرداخت ایمیل با ما تماس بگیرید.

برای کسب اطلاعات بیشتر در مورد اینکه چگونه سرویس های اطلاعاتی تهدید می توانند موقعیت امنیت سایبری سازمان شما را بهبود بخشند ، به صفحه اطلاعات تهدید ESET مراجعه کنید.

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *