2022 ve 2023 yılları arasında altı aya yayılan Güneydoğu Asya hükümetini hedefleyen saldırılarda Gelsemium olarak izlenen gizli bir gelişmiş kalıcı tehdit (APT) gözlendi.
Gelsemium, 2014 yılından bu yana, Doğu Asya ve Orta Doğu'daki hükümet, eğitimi ve elektronik üreticileri hedefleyen bir siber başlık grubudur.
ESET'in 2021'deki raporu, tehdit grubunu "sessiz" olarak nitelendiriyor ve uzun yıllar radarın altında uçmalarına yardımcı olan geniş teknik kapasitenin ve programlama bilgilerinin altını çiziyor.
Palo Alto Network'ün 42. Birimi'nin yeni bir raporu, yeni bir Gelsemium kampanyasının, tehdit aktörlerine orta güvenle bağlantılı nadiren görülen geri dönüşleri nasıl kullandığını ortaya koyuyor.
Gelsemium hedeflerinin ilk uzlaşması, muhtemelen internete dönük sunuculardaki güvenlik açıklarından yararlandıktan sonra web mermileri yüklenerek elde edildi.
Ünite 42, kamuya açık olan ve birden fazla tehdit grubu tarafından kullanılan 'Regeorg', 'China Chopper' ve 'Aspxspy' web kabuklarını gören raporlar, atıfı zorlaştırıyor.
Bu web mermilerini kullanarak, Gelsemium temel ağ keşfi gerçekleştirdi, SMB yoluyla yanal olarak hareket etti ve ek yükler getirdi.
Yanal hareket, veri toplama ve ayrıcalık artışına yardımcı olan ek araçlar arasında Owlproxy, SessionManager, Cobalt Strike, Spoolfool ve Solucan bulunur.
Kobalt Strike yaygın olarak kullanılan bir penetrasyon testi paketidir, Lolworm halka açık bir çorap tünelidir ve Spoolfool açık kaynaklı bir yerel ayrıcalık yükseltme aracıdır, bu nedenle bu üçü Gelsemium'a özgü değildir.
Bununla birlikte, Owlproxy benzersiz, özel bir HTTP proxy ve arka kapı aracı ünitesi 42, Tayvan hükümetini hedefleyen geçmiş bir saldırıda kullanılan Gelsemium raporlarıdır.
En son kampanyada, tehdit oyuncusu, ihlal edilen sistemin diskine gömülü bir DLL (WMIPD.dll) kaydeden ve onu çalıştıran bir hizmet oluşturan bir yürütme görevlisi kullandı.
DLL, komutları gizleyen belirli URL kalıpları için gelen istekleri izleyen bir HTTP hizmeti oluşturan bir baykuş türüdür.
Araştırmacılar, hedeflenen sistemdeki güvenlik ürünlerinin OWLProxy'nin koşmasını engellediğini, böylece saldırganların solucan kullanmaya geri döndüğünü söylüyor.
Gelsemium ile ilişkili ikinci özel implant, Kaspersky'nin geçen yaz tehdit grubuna bağlı olduğu bir IIS arka kapısı olan SessManager'dır.
Son saldırıdaki örnek, gelen HTTP isteklerini izledi ve ana bilgisayarda yürütme komutları taşıyan belirli bir çerez alanı aradı.
Bu komutlar, C2 sunucusuna veya C2 sunucusuna dosyaları yüklemek, komutları yürütmek, uygulamaları başlatma veya ek sistemlere proxying bağlantıları ile ilgilidir.
Owlproxy ve SessionManager içindeki proxy işlevselliği, tehdit aktörlerinin tehlikeye atılan sunucuyu hedef ağdaki diğer sistemlerle iletişim kurmak için bir ağ geçidi olarak kullanma niyetini gösterir.
Sonuç olarak, Ünite 42, Gelsemium'un azimini not eder, tehdit aktörleri birden fazla araç getirir ve güvenlik çözümleri bazı arka fırınlarını durdurduktan sonra bile saldırıyı gerektiği gibi uyarlar.
‘Sandman’ hackerlar yeni luadream kötü amaçlı yazılımlarla arka kapı telcos
Siber casusluk saldırılarında kullanılan yeni sprysocks linux kötü amaçlı yazılım
İran Apt33, ABD Cybercom Sorunları Uyarısı tarafından sömürülen görünüm kusuru
Microsoft: Gizli Keten Typhoon Hacker'ları algılamadan kaçmak için lolbins kullanıyor
Carderbee Hacking Group Tedarik Zinciri Saldırısında Hong Kong Orgs'a vuruyor
Kaynak: Bleeping Computer