Um ator furtivo de ameaça persistente avançada (APT) conhecido como Gelsemium foi observado visando uma entidade governamental no Sudeste Asiático para estabelecer persistência e coletar inteligência, revela a empresa de segurança cibernética Palo Alto Networks.
Como parte da atividade observada, abrangendo um período de seis meses no final de 2022 e em 2023, o agente da ameaça implantou uma variedade de web shells para apoiar o movimento lateral e a entrega de malware, juntamente com backdoors, um beacon Cobalt Strike e vários outros ferramentas.
A Palo Alto Networks não fez nenhuma reclamação quanto à atribuição, mas observou que outros vincularam o Gelsemium à China no passado.
A empresa de segurança cibernética identificado três web shells usados nesses ataques, nomeadamente reGeorg, China Chopper e AspxSpy (disponíveis publicamente). Em alguns casos, o autor da ameaça implantou uma ferramenta semelhante a um shell para executar comandos adicionais e várias ferramentas de escalonamento de privilégios.
Na próxima etapa, malwares como OwlProxy, SessionManager, um beacon Cobalt Strike, SpoolFool e EarthWorm foram implantados para garantir a persistência no ambiente comprometido. Para verificar a conectividade dos sistemas com a Internet, os invasores executaram ping em um conhecido portal chinês.
SessionManager é um backdoor personalizado para Serviços de Informações da Internet (IIS) que permite que invasores executem comandos, baixem e carreguem arquivos e usem o servidor web como proxy, com base em comandos recebidos por meio de solicitações HTTP de entrada.
Como parte da atividade observada, o Gelsemium tentou, sem sucesso, implantar o SessionManager na rede das vítimas, diz Palo Alto Networks.
Outra ferramenta personalizada, OwlProxy é um proxy HTTP que também possui funcionalidade backdoor e que foi usado anteriormente em ataques contra governos no Leste Asiático e no Oriente Médio.
Durante o ataque observado, após o bloqueio da implantação do OwProxy, os invasores tentaram usar uma ferramenta substituta chamada EarthWorm, um tunelador SOCKS disponível publicamente, usado por vários atores de ameaças chineses em ataques maliciosos.
A Gelsemium implantou o EarthWorm para criar um túnel entre seu comando e controle (C&C) e a rede local.
Para escalonamento de privilégios, os invasores usaram o Potato Suite (que inclui as ferramentas JuicyPotato, BadPotato e SweetPotato), junto com o SpoolFool, uma exploração de prova de conceito (PoC) disponível publicamente visando CVE-2022-21999 ().
Com base na combinação única de malware usado nesses ataques, como SessionManager e OwlProxy, a Palo Alto Networks acredita que a atividade observada pode ser atribuída ao grupo Gelsemium APT.
Ativo desde pelo menos 2014, o grupo é conhecido por ter como alvo organizações educacionais, governamentais, fabricantes de eletrônicos e organizações religiosas, principalmente no Leste Asiático e no Oriente Médio. A APT também foi vista como alvo dos governos do Sudeste.