Hackers evasivos do Gelsemium flagrados em ataque contra o governo asiático
25 de Setembro de 2023

Uma ameaça avançada persistente (APT) furtiva rastreada como Gelsemium foi observada em ataques direcionados a um governo do Sudeste Asiático que duraram seis meses entre 2022 e 2023.

Gelsemium é um grupo de ciberespionagem operacional desde 2014, visando governo, educação e fabricantes de eletrônicos no Leste da Ásia e no Oriente Médio.

O relatório da ESET de 2021 caracteriza o grupo de ameaças como "silencioso", destacando a vasta capacidade técnica e o conhecimento de programação que os ajudaram a passar despercebidos por muitos anos.

Um novo relatório da Unit 42 da Palo Alto Network revela como uma nova campanha Gelsemium usa portas dos fundos raramente vistas vinculadas aos atores de ameaças com confiança média.

O comprometimento inicial dos alvos do Gelsemium foi alcançado por meio da instalação de shells na web, provavelmente após explorar vulnerabilidades em servidores voltados para a internet.

A Unit 42 relata ter visto as web shells 'reGeorg', 'China Chopper' e 'AspxSpy', que estão disponíveis publicamente e são usadas por vários grupos de ameaças, tornando a atribuição difícil.

Usando essas web shells, Gelsemium realizou reconhecimento básico de rede, moveu-se lateralmente via SMB e buscou payloads adicionais.

Essas ferramentas adicionais que ajudam no movimento lateral, coleta de dados e elevação de privilégios incluem OwlProxy, SessionManager, Cobalt Strike, SpoolFool e EarthWorm.

Cobalt Strike é uma suíte de teste de penetração amplamente utilizada, EarthWorm é um tunelizador SOCKS disponível publicamente e SpoolFool é uma ferramenta de escalonamento de privilégios locais de código aberto, então esses três não são específicos para Gelsemium.

No entanto, o OwlProxy é um proxy HTTP personalizado exclusivo e uma ferramenta de backdoor que a Unit 42 relata que Gelsemium usou em um ataque passado contra o governo de Taiwan.

Na campanha mais recente, o ator da ameaça implantou um executável que salva uma DLL incorporada (wmipd.dll) no disco do sistema violado e criou um serviço que o executa.

A DLL é uma variante do OwlProxy, que cria um serviço HTTP que monitora solicitações de entrada para padrões de URL específicos que escondem comandos.

Os pesquisadores dizem que os produtos de segurança no sistema alvo impediram o OwlProxy de ser executado, então os atacantes voltaram a usar o EarthWorm.

O segundo implante personalizado associado ao Gelsemium é o SessionManager, um backdoor do IIS que a Kaspersky vinculou ao grupo de ameaças no último verão.

A amostra no ataque recente monitorou solicitações HTTP de entrada, procurando um campo de Cookie específico que carrega comandos para execução no host.

Esses comandos dizem respeito ao upload de arquivos para o servidor C2 ou dele, executando comandos, lançando aplicativos ou fazendo conexões de proxy para sistemas adicionais.

A funcionalidade de proxy dentro do OwlProxy e do SessionManager mostra a intenção dos atores de ameaças de usar o servidor comprometido como um gateway para se comunicar com outros sistemas na rede alvo.

Em conclusão, a Unit 42 nota a tenacidade de Gelsemium, com os atores de ameaça introduzindo várias ferramentas e adaptando o ataque conforme necessário, mesmo depois de algumas de suas backdoors serem paradas por soluções de segurança.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...