A Gelsemium nevű APT csoportot egy délkelet-ázsiai kormányt célzó támadássorozatban figyelték meg, amely hat hónapon keresztül zajlott 2022 és 2023 között.
A Gelsemium egy 2014 óta működő kiberkémkedésre specialiázálódott csoport, amely Kelet-Ázsia és a Közel-Kelet kormányzati, oktatási és elektronikai gyártóit veszi célba.
Az ESET 2021-es jelentése a fenyegetőcsoportot “csendesként” jellemzi, kiemelve a magas technikai tudást, amelyeknek köszönhetően évekig észrevétlenül tudtak tevékenykedni.
A Palo Alto Network 42-es egységének új jelentése feltárja, hogy egy új Gelsemium kampány hogyan használ ritkán látott backdoorokat. A célpontok kezdeti kompromittálását webshellek telepítésével érték el az Internet felől elérhető szerverek sebezhetőségének kihasználása után.
A Unit 42 jelentése szerint a reGeorg, a China Chopper és az AspxSpy webshelleket észlelték, amelyek nyilvánosan elérhetőek, és amelyeket több csoport is használ. Ezeket kihasználva hálózati felderítést végeztek, SMB-n keresztül, és további payloadokat töltöttek fel. Az adatgyűjtést és a jogosultságok kiterjesztését segítő további eszközök közé tartozik az OwlProxy, a SessionManager, a Cobalt Strike (behatolásvizsgálati csomag), a SpoolFool (nyílt forráskódú jogosultság emelési eszköz), valamint az EarthWorm (SOCKS tunneler).
Az OwlProxy egy egyedi HTTP proxy és backdoor eszköz, amelyet a Unit 42 jelentése szerint a Gelsemium egy korábbi, a tajvani kormányt célzó támadásban használt. A legutóbbi kampányban egy olyan futtatható programot telepítettek, amely egy beágyazott DLL-t (wmipd.dll) mentett le, és létrehozott egy szolgáltatást, amely ezt futtatja. Egy olyan HTTP szolgáltatást hoz létre, amely a bejövő kéréseket figyeli a parancsokat elrejtő, meghatározott URL minták után.
A kutatók szerint a célzott rendszer biztonsági termékei megakadályozták az OwlProxy futtatását, így a támadók visszatértek az EarthWorm használatára. A Kaspersky szerint a Gelsemium eszköztárába tartozik a SessionManager is, amely egy IIS backdoor.
A legutóbbi támadásban szereplő malware figyelte a bejövő HTTP kéréseket, és egy bizonyos Cookie mezőt keresett, amely parancsokat hordoz a hoszton történő végrehajtáshoz. Ezekkel a parancsokkal fájlokat lehetett fel- és letölteni a C2 szerverről, parancsokat lehetett végrehajtani, alkalmazásokat elindítani illetve további rendszerekkel való kapcsolatot létrehozni.
Az OwlProxy és a SessionManager kapcsán megfigyelhető, hogy a fenyegetési aktorok a kompromittált szervert átjáróként kívánják használni a célhálózat más rendszereivel való kommunikációra.
