Мастер-класс от группы Gelsemium: как атаковать молча и эффективно

За последние шесть месяцев между 2022 и 2023 годами постоянная продвинутая угроза ( APT ), известная как Gelsemium, активно атаковала правительства в Юго-Восточной Азии.

Группа Gelsemium известна с 2014 года. Её основные цели — государственные учреждения, образовательные институты и производители электроники в Восточной Азии и на Ближнем Востоке. В отчете ESET за 2021 год специалисты охарактеризовали группу как «тихую», акцентируя внимание на глубоких технических компетенциях, которые позволяли ей долгое время оставаться в тени.

Согласно свежему отчету исследовательской группы Unit 42 от Palo Alto Network, в новой кампании были задействованы уникальные бэкдоры.

Gelsemium использовала веб-шеллы для проникновения в систему, предположительно, эксплуатируя уязвимости серверов, доступных из интернета. Как показал анализ, среди применяемых веб-шеллов были «reGeorg», «China Chopper» и «AspxSpy». Инструменты находятся в открытом доступе и могут быть использованы различными группами злоумышленников, что затрудняет их идентификацию.

Через веб-шеллы Gelsemium осуществляла первоначальную разведку в сети, перемещалась в ней с помощью SMB и загружала дополнительные модули: OwlProxy, SessionManager, Cobalt Strike, SpoolFool и EarthWorm.

Хотя инструменты Cobalt Strike, EarthWorm и SpoolFool доступны публично и широко известны, OwlProxy довольно уникален. Когда-то он служил HTTP-прокси и бэкдором в атаках группы на правительство Тайваня.

В ходе последней кампании хакеры запускали программу на целевом компьютере, который, в свою очередь, копировал DLL-файл (wmipd.dll) и создавал системную службу для его выполнения. DLL-файл — модификация OwlProxy для отслеживания входящих HTTP-запросов и определенных URL-шаблонов.

Еще один инструмент Gelsemium — SessionManager. Этот модуль для системы IIS ранее обнаружили исследователи из Лаборатории Касперского. SessionManager анализирует входящие HTTP-запросы на наличие специальных записей в «Cookie». Такие записи содержат команды, которые позволяют злоумышленникам загружать файлы, запускать программы и даже соединяться с другими системами через зараженный сервер.

Команда Unit 42 отмечает настойчивость Gelsemium: группа использует несколько инструментов и адаптирует свои атаки даже после того, как некоторые из их бэкдоров были остановлены механизмами безопасности.